# T1059.009 - Cloud API ## Técnica Pai Esta é uma sub-técnica de [[t1059-command-scripting-interpreter|T1059 - T1059 - Command and Scripting Interpreter]]. ## Descrição Adversários abusam das APIs nativas de plataformas de nuvem para executar ações maliciosas com aparência de tráfego administrativo legítimo. As grandes provedoras - AWS, Azure e GCP - expõem APIs REST abrangentes que cobrem práticamente todo aspecto de um tenant: criação e gerenciamento de máquinas virtuais, manipulação de buckets de armazenamento, controle de políticas IAM, configuração de rede e administração de identidades. Essas APIs podem ser acessadas via CLIs nativas (`aws`, `az`, `gcloud`), Cloud Shells integrados ao browser, módulos PowerShell como o Azure Az, ou SDKs para linguagens como [[t1059-006-python|Python]] e Go. A característica mais perigosa dessa técnica é a sua capacidade de disfarce: chamadas de API maliciosas são indistinguíveis de operações administrativas normais nos logs de controle, especialmente quando feitas com credenciais legítimas comprometidas. Após obter um [[t1550-001-app-access-token|Application Access Token]] ou roubar um [[t1550-004-web-session-cookie|Web Session Cookie]] de um administrador de nuvem, o atacante pode invocar qualquer API autorizada por aquela identidade - exfiltrando dados de storage, criando backdoors via novos usuários IAM, escalando privilégios através de políticas permissivas, ou implantando workloads maliciosos em ambientes serverless ou de contêiner. O [[g0016-apt29|APT29]] (Cozy Bear) é o exemplo mais documentado de uso sofisticado desta técnica, tendo abusado extensivamente da Microsoft Graph API e das APIs do Azure AD durante a campanha SolarWinds para mover-se lateralmente entre tenants de clientes comprometidos. O grupo [[g1053-storm-0501|Storm-0501]], com foco em ransomware híbrido, utiliza Azure CLI para criar usuários administrativos persistentes antes de executar o payload final. Já o [[g0139-teamtnt|TeamTNT]] automatiza chamadas às APIs da AWS para rotacionar credenciais e criar novas instâncias para mineração. A ferramenta [[s1091-pacu|Pacu]] - framework de exploração AWS de código aberto - é frequentemente usada em operações de red team e por atores maliciosos para automatizar o abuso de Cloud APIs. **Contexto Brasil/LATAM:** O crescimento acelerado da migração para nuvem pública entre empresas brasileiras, especialmente no setor financeiro e de varejo, torna essa técnica altamente relevante para a região. A combinação de ambientes multi-cloud parcialmente gerenciados, falta de monitoramento de Cloud Trail/Audit Logs e uso excessivo de permissões IAM cria uma superfície de ataque ampla. Incidentes envolvendo comprometimento de credenciais de desenvolvedores no GitHub com acesso a ambientes AWS de produção são frequentes no contexto LATAM. ## Attack Flow ```mermaid graph TB A[Credenciais Comprometidas] --> B[T1059.009 - Cloud API] B --> C[Criação de Backdoor IAM] C --> D[Movimento Lateral] D --> E[Exfiltração / Ransomware] ``` ## Como Funciona **1. Preparação - Obtenção de credenciais e reconhecimento** O atacante obtém credenciais de nuvem por meio de phishing, vazamento de repositórios, roubo de tokens de sessão ou comprometimento de instâncias com roles IAM associadas. Em seguida, mapeia as permissões disponíveis para planejar os próximos passos: ```bash # Artefatos de detecção - enumeração IAM via AWS CLI aws iam get-user aws iam list-attached-user-policies --user-name <alvo> aws sts get-caller-identity ``` **2. Execução - Abuso da Cloud API** Com permissões mapeadas, o atacante invoca APIs para ações maliciosas. Os padrões mais comuns incluem: - Criação de usuários IAM persistentes com políticas AdministratorAccess - Enumeração e download de buckets S3 com dados sensíveis - Criação de instâncias EC2/VMs para mineração ou infraestrutura de C2 - Manipulação de Security Groups para abrir acesso externo - Invocação de funções Lambda com payloads maliciosos ```bash # Artefato de detecção - criação de usuário backdoor via AWS CLI aws iam creaté-user --user-name svc-backup-monitor aws iam attach-user-policy --user-name svc-backup-monitor \ --policy-arn arn:aws:iam::aws:policy/AdministratorAccess aws iam creaté-access-key --user-name svc-backup-monitor ``` **3. Pós-execução - Persistência e evasão** O atacante garante persistência criando múltiplas identidades redundantes e remove evidências deletando logs do CloudTrail ou desabilitando serviços de monitoramento. Técnicas como rotação de access keys e uso de roles temporárias via STS dificultam a rastreabilidade. ## Detecção **Fontes de dados:** AWS CloudTrail, Azure Activity Log / Microsoft Defender for Cloud, GCP Cloud Audit Logs, Entra ID Sign-in Logs. Foco em `CreateUser`, `AttachUserPolicy`, `CreateAccessKey`, `PutBucketPolicy` e chamadas de API fora do horário comercial ou de IPs/regiões incomuns. ```yaml title: Suspicious IAM Backdoor User Creation via Cloud API id: 2a3b4c5d-6e7f-8a9b-0c1d-2e3f4a5b6c7d status: experimental description: Detecta criação de usuário IAM seguida de anexação de política administrativa - padrão comum de backdoor em Cloud API abuse logsource: category: cloud product: aws service: cloudtrail detection: selection_creaté: eventName: CreateUser selection_attach: eventName: AttachUserPolicy requestParameters.policyArn|contains: AdministratorAccess timeframe: 10m condition: selection_creaté and selection_attach falsepositives: - Provisionamento legítimo de usuários de serviço por equipes de infra level: high tags: - attack.execution - attack.t1059.009 - attack.persistence ``` ## Mitigação | Mitigação | Recomendação Prática | |-----------|---------------------| | [[m1038-execution-prevention\|M1038 - Execution Prevention]] | Implementar SCPs (Service Control Policies) na AWS Organizations e Azure Policy para bloquear criação de usuários administrativos por roles não autorizadas; restringir regiões de operação via políticas | | [[m1026-privileged-account-management\|M1026 - Privileged Account Management]] | Adotar princípio do menor privilégio rigoroso: eliminar AdministratorAccess generalizado, usar roles temporárias via STS com duração mínima, habilitar MFA obrigatório para todas as operações de IAM sensíveis | ## Software Associado - [[s1091-pacu|Pacu]] - framework de exploração AWS usado em red team e por atores maliciosos para automatizar abuso de Cloud APIs ## Referências *Fonte: [MITRE ATT&CK - T1059.009](https://attack.mitre.org/techniques/T1059/009)*