t1087-004-cloud-account

# T1087.004 - Cloud Account ## Técnica Pai Esta é uma sub-técnica de [[t1087-account-discovery|T1087 - T1087 - Account Discovery]]. ## Descrição A enumeração de contas em ambientes de nuvem é uma das primeiras ações de um adversário após obter acesso inicial a um ambiente IaaS, SaaS ou de provedor de identidade. O atacante busca listar usuários, grupos, funções (roles) e contas de serviço disponíveis - informações que mapeiam a superfície de ataque para movimentação lateral e escalada de privilégios. No contexto brasileiro e latino-americano, esta técnica é particularmente relevante para organizações que adotaram ambientes híbridos com [[microsoft-azure|Microsoft Azure]] e [[microsoft-365|Microsoft 365]] - ecossistema dominante no mercado corporativo do Brasil. O grupo [[g0016-apt29|APT29]] explorou exatamente esse vetor durante a campanha de comprometimento do Microsoft 365 voltada a organizações governamentais e do setor financeiro. O [[g1053-storm-0501|Storm-0501]], com histórico de ataques a infraestruturas híbridas, também utiliza esta técnica como pivô entre ambientes on-premises e nuvem. Em AWS, a enumeração de contas IAM fornece ao atacante o mapa completo de quem pode fazer o quê - base para o planejamento de [[t1078-003-valid-accounts-cloud|uso de contas válidas na nuvem]] e para identificar contas de serviço com permissões excessivas. Em ambientes GCP, o mapeamento de service accounts frequentemente revela chaves de longa duração com escopos amplos, comuns em organizações que não adotaram práticas de menor privilégio. ## Attack Flow ```mermaid graph TB A([Acesso Inicial]) --> B([Credenciais Comprometidas]) B --> C{T1087.004<br/>Cloud Account<br/>Enumeration}:::highlight C --> D([Mapeamento de Roles]) C --> E([Listagem de Usuários]) C --> F([Identificação de Service Accounts]) D --> G([Escalada de Privilégios]) E --> G F --> G G --> H([Movimentação Lateral]) H --> I([Persistência na Nuvem]) classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b ``` ## Como Funciona **1. Coleta de credenciais ou token de acesso** O adversário utiliza credenciais roubadas via [[t1566-phishing|phishing]], tokens OAuth capturados ou chaves de API expostas para autenticar-se nas APIs do provedor de nuvem (AWS, Azure, GCP). Ferramentas como [[s0684-roadtools|ROADTools]] e [[s0677-aadinternals|AADInternals]] automatizam a autenticação no Azure AD sem acionar alertas padrão. **2. Enumeração de contas e roles** Com acesso autenticado, o atacante executa comandos de listagem: - Azure: `az ad user list`, `Get-MsolRoleMember` (PowerShell) - AWS: `aws iam list-users`, `aws iam list-roles` - GCP: `gcloud iam service-accounts list`, `gcloud projects get-iam-policy` Ferramentas como [[s1091-pacu|Pacu]] (framework de exploração AWS) automatizam essa etapa e correlacionam os resultados para identificar contas com permissões privilegiadas. **3. Priorização de alvos para próxima fase** Com a listagem completa, o adversário prioriza contas com roles elevadas (Global Admin, Owner, ProjectEditor), contas de serviço com chaves ativas e usuários que pertencem a múltiplos grupos - candidatos ideais para o [[t1078-003-valid-accounts-cloud|uso de contas válidas]] e [[t1550-001-application-access-token|reutilização de tokens de aplicação]]. ## Detecção ### Event IDs Relevantes | Plataforma | Event / Log | Indicador | |-----------|------------|-----------| | Azure AD | Unified Audit Log - `List users`, `List group members` | Volume anômalo de queries de listagem em curto período | | AWS CloudTrail | `ListUsers`, `ListRoles`, `ListPolicies` | Múltiplas chamadas consecutivas de uma única identidade | | GCP Audit Log | `iam.serviceAccounts.list`, `cloudresourcemanager.projects.getIamPolicy` | Chamadas fora do horário comercial ou de IP desconhecido | | Microsoft 365 | AADUserManagement - `Get user` em massa | Enumeração via Graph API sem justificativa de negócio | ### Regra Sigma ```yaml title: Cloud Account Enumeration - Azure AD Bulk User Listing id: a7f3c2e1-9b4d-4f8a-b3c6-12e7d5a8f091 status: experimental description: > Detecta enumeração massiva de contas no Azure AD via Graph API ou CLI, padrão associado à técnica T1087.004. author: RunkIntel daté: 2026-03-24 logsource: product: azure service: auditlogs detection: selection: ActivityDisplayName|contains: - "List users" - "List group members" - "Get user" timeframe: 5m condition: selection | count() by InitiatedBy.user.userPrincipalName > 50 falsepositives: - Ferramentas de gerenciamento de identidade legítimas (Entra ID Governance) - Scripts de HR onboarding/offboarding level: medium tags: - attack.discovery - attack.t1087.004 ``` ## Mitigação | Controle | Descrição | Prioridade para Orgs BR | |---------|-----------|------------------------| | Princípio do Menor Privilégio | Restringir permissões de listagem (`iam:ListUsers`, `Directory.Read.All`) apenas a identidades de administração explícitas | Alta - comum ver permissões excessivas em ambientes Azure BR | | [[m1047-audit\|M1047 - Audit]] | Revisar periodicamente quais contas e aplicações têm permissão de listar usuários e grupos via Graph API ou IAM | Alta - conformidade com LGPD exige auditoria de acessos | | [[m1018-user-account-management\|M1018 - Gerenciamento de Contas]] | Desativar ou remover contas de serviço ociosas; rotacionar chaves de longa duração regularmente | Média - serviços legados brasileiros frequentemente acumulam service accounts sem uso | | Alertas de enumeração em SIEM | Configurar alertas para volume anômalo de chamadas de listagem IAM/Graph em jánelas de 5 minutos | Alta - detectável via Microsoft Sentinel ou Elastic SIEM | | MFA obrigatório + Acesso Condicional | Exigir MFA para qualquer acesso à Graph API fora de redes corporativas conhecidas | Alta - vetor primário de comprometimento inicial no Brasil | ## Threat Actors e Software ### [[g0016-apt29|APT29]] - Cozy Bear Grupo de espionagem russo que explorou a técnica em campanhas contra agências governamentais e organizações da OTAN, usando [[s0677-aadinternals|AADInternals]] para extrair informações do Azure AD sem acionar alertas convencionais. Relevante para o Brasil dado o interesse russo em diplomacia latino-americana e organizações multilaterais com sede no país. ### [[g1053-storm-0501|Storm-0501]] Grupo de ransomware que usa enumeração de contas na nuvem como etapa de reconhecimento antes de se mover entre ambientes híbridos (on-premises ↔ Azure). Usa o [[s1091-pacu|Pacu]] para AWS e scripts PowerShell para Azure. Registrado em ataques a organizações do setor de saúde e financeiro - setores com alta adoção de nuvem no Brasil. ### Software Associado | Ferramenta | Tipo | Uso nesta Técnica | |-----------|------|------------------| | [[s0684-roadtools\|ROADTools]] | Ferramenta ofensiva | Enumeração e dump de dados do Azure AD, incluindo usuários e grupos | | [[s0677-aadinternals\|AADInternals]] | Ferramenta ofensiva | Acesso ao Azure AD via Graph API e cmdlets PowerShell com múltiplos métodos de autenticação | | [[s1091-pacu\|Pacu]] | Framework AWS | Módulo `iam__enum_users_roles_policies_groups` para enumeração completa de identidades AWS | --- *Fonte: [MITRE ATT&CK - T1087.004](https://attack.mitre.org/techniques/T1087/004)*