t1485-001-lifecycle-triggered-deletion

# T1485.001 - Lifecycle-Triggered Deletion ## Descrição **Lifecycle-Triggered Deletion** é uma subtécnica de [[t1485-data-destruction|T1485 - Data Destruction]], classificada na tática **Impact** do framework [[mitre-attack|MITRE ATT&CK]]. Nesta técnica, adversários com permissões suficientes em ambientes de nuvem IaaS exploram os mecanismos nativos de gerenciamento de ciclo de vida de objetos em buckets de armazenamento em nuvem para destruir dados em massa de forma automatizada e diferida. Plataformas de nuvem como AWS S3, Google Cloud Storage e Azure Blob Storage oferecem funcionalidades de **lifecycle policies** - regras configuráveis que automatizam a migração, arquivamento ou exclusão de objetos após determinado período. Essas políticas existem como recurso legítimo de gerenciamento de custos e conformidade, mas quando um adversário obtém permissões para modificá-las, tornam-se um vetor de destruição de dados altamente eficaz e difícil de reverter. A característica mais perigosa desta técnica é o seu aspecto **assíncrono e retardado**: ao contrário de um comando de deleção direta, a lifecycle policy age de forma silenciosa ao longo do tempo. O adversário pode configurar a política, remover rastros de seu acesso e abandonar o ambiente antes que qualquer dado sejá efetivamente destruído. Quando a deleção finalmente ocorre - horas ou dias depois - pode já ser tarde demais para recuperação se backups não estiverem devidamente isolados. Além da destruição de dados de negócio para fins de extorsão, a técnica é também aplicada sobre buckets que armazenam **logs de auditoria e monitoramento de nuvem** (como AWS CloudTrail, Google Cloud Audit Logs), configurando assim uma operação de [[t1070-indicator-removal|Indicator Removal]] que elimina as evidências do próprio ataque. > **Técnica pai:** [[t1485-data-destruction|T1485 - Data Destruction]] ## Como Funciona O ataque explora a API nativa de gerenciamento de ciclo de vida do provedor de nuvem. O processo técnico varia por plataforma, mas segue uma lógica comum: **1. Obtenção de permissões privilegiadas** Para aplicar uma lifecycle policy, o adversário precisa de permissões específicas de escrita sobre as configurações do bucket. No caso da AWS, a permissão `s3:PutLifecycleConfiguration` é suficiente. Essas permissões podem ser obtidas via comprometimento de credenciais IAM de alta privilégio, abuso de roles com escopo excessivo ou exploração de configurações incorretas de IAM. **2. Enumeração de buckets de alto valor** O adversário realiza reconhecimento para identificar buckets contendo dados críticos: backups de banco de dados, logs de auditoria, armazenamento de aplicações críticas, dados de clientes. Ferramentas como `aws s3 ls` ou o console web do provedor permitem essa enumeração se as permissões adequadas estiverem disponíveis. **3. Configuração da lifecycle policy maliciosa** A política é criada com expiração de objetos definida para o menor prazo possível - tipicamente 1 dia - garantindo que todos os objetos no bucket sejam marcados para deleção e removidos na próxima execução do processo de lifecycle do provedor. **Exemplo AWS S3 (PutBucketLifecycle):** ```json { "Rules": [{ "ID": "DeleteAll", "Status": "Enabled", "Filter": { "Prefix": "" }, "Expiration": { "Days": 1 } }] } ``` **4. Remoção de rastros e desconexão** Após aplicar a política, o adversário pode excluir os logs de sua atividade (CloudTrail, por exemplo, se não houver proteção adicional) e se desconectar. A política permanece ativa de forma independente. **5. Deleção automatizada pelo provedor** Na próxima execução do processo de lifecycle do provedor (geralmente diária), todos os objetos são marcados como expirados e excluídos - sem qualquer ação adicional do adversário. **6. Extorsão ou impacto final** Com os dados destruídos - incluindo potencialmente os próprios backups armazenados no mesmo provedor - o adversário pode exigir pagamento para "restaurar" dados (em casos onde havia cópia prévia), causar disrupção de negócio ou simplesmente destruir evidências de um ataque maior. ## Attack Flow ```mermaid graph TB A[Comprometimento de credenciais IAM privilegiadas] --> B[Enumeração de buckets S3 / GCS / Azure Blob] B --> C[Identificação de buckets críticos: backups, logs, dados de negócio] C --> D[Aplicar lifecycle policy maliciosa - expiração em 1 dia] D --> E[Deletar logs CloudTrail do próprio acesso] E --> F[Abandonar sessão - sem rastros imediatos] F --> G[Provedor executa lifecycle automaticamente - deleção em massa] G --> H{Backups isolados?} H -- Não --> I[Destruição irreversível de dados] H -- Sim --> J[Impacto reduzido - recuperação possível] I --> K[Extorsão / Disrupção de negócio / Remoção de evidências] ``` ## Exemplos de Uso ### Campanhas de Extorsão em Ambientes AWS (2023-2025) Grupos de cibercrime com foco em ambientes de nuvem - especialmente aqueles que exploram credenciais expostas em repositórios públicos do GitHub ou arquivos `.env` acessíveis - têm utilizado lifecycle policies como mecanismo de extorsão. O padrão observado envolve: 1. Scan automatizado de repositórios públicos em busca de chaves AWS (`AKIA*`) 2. Verificação de permissões disponíveis com `aws sts get-caller-identity` e `aws iam simulaté-principal-policy` 3. Identificação e targeting de buckets com dados sensíveis 4. Aplicação de lifecycle policy de 1 dia 5. Envio de mensagem de extorsão ao proprietário do bucket informando que os dados serão destruídos em 24 horas ### Destruição de Logs de Auditoria Em cenários de comprometimento mais amplo de infraestrutura em nuvem, adversários aplicam lifecycle policies específicamente sobre buckets de logging (CloudTrail, VPC Flow Logs, Audit Logs) para destruir evidências de suas atividades. Esta variação tem relação direta com [[t1070-indicator-removal|Indicator Removal]] e dificulta significativamente a investigação forense pós-incidente. ### Impacto em Ambientes Multi-Cloud de Organizações Brasileiras Organizações brasileiras que migraram para nuvem sem implementar políticas adequadas de proteção de buckets (como S3 Object Lock ou versioning com MFA delete) são particularmente vulneráveis, dado que frequentemente consolidam backups e dados de produção no mesmo provedor e região. ## Detecção A detecção eficaz desta técnica depende do monitoramento de eventos de configuração de lifecycle policies nos logs de auditoria do provedor de nuvem. A jánela de detecção ideal é **antes** da execução da deleção - ao identificar a política maliciosa logo após sua criação. ```yaml title: Detecção de Lifecycle Policy Maliciosa em S3 AWS status: experimental logsource: category: cloud product: aws service: cloudtrail detection: selection: eventName: PutBucketLifecycle requestParameters.LifecycleConfiguration.Rules.Status: "Enabled" filter_legitimate: userIdentity.sessionContext.sessionIssuer.userName|startswith: - "terraform" - "infra-automation" condition: selection and not filter_legitimate level: high tags: - attack.impact - attack.t1485.001 falsepositives: - Alterações legítimas de lifecycle por times de infraestrutura ou automações IaC - Rotações de política de retenção aprovadas pelo time de FinOps ``` **Indicadores críticos de alerta:** - Eventos `PutBucketLifecycle` fora de jánelas de manutenção planejada - Lifecycle rules com `Days: 1` ou `ExpiredObjectDeleteMarker: true` aplicadas a buckets de backup - Acesso a `PutBucketLifecycle` por usuário/role que raramente opera configurações de storage - Deleção de CloudTrail trails ou desabilitação de logging logo após modificação de lifecycle policy - Ausência de eventos `GetBucketLifecycle` antes do `Put` - indica criação, não atualização legítima **Fontes de dados recomendadas:** - AWS CloudTrail - eventos de gerenciamento (Management Events habilitados obrigatoriamente) - AWS Config - regras para detectar lifecycle policies com expirações curtas - Google Cloud Audit Logs - `storage.buckets.updaté` com lifecycle modificado - Azure Monitor - operações `BlobServiceProperties` em Storage Accounts - SIEM com enriquecimento de identidade - correlacionar quem fez a alteração com histórico de comportamento ## Mitigação | ID | Mitigação | Descrição | |---|-----------|-----------| | M1018 | [[m1018-user-account-management\|M1018 - User Account Management]] | Implementar princípio de menor privilégio rigoroso para permissões IAM em cloud. A permissão `s3:PutLifecycleConfiguration` deve ser concedida apenas a roles de infraestrutura com necessidade legítima e documentada. Revisar e revogar permissões excessivas usando ferramentas como AWS IAM Access Analyzer. Implementar SCPs (Service Control Policies) em AWS Organizations para limitar quem pode modificar lifecycle policies. | | M1053 | [[m1053-data-backup\|M1053 - Data Backup]] | Manter backups em buckets separados com S3 Object Lock habilitado em modo Compliance (impede deleção mesmo por administradores por período configurado). Implementar cross-region e cross-account replication para backups críticos. Garantir que credenciais com acesso aos backups sejam segregadas das credenciais operacionais. Testar regularmente a recuperação a partir de backups isolados. | **Controles adicionais recomendados:** - Habilitar **S3 MFA Delete** em buckets de backup e dados críticos - requer MFA para excluir objetos ou versões - Habilitar **S3 Versioning** - protege contra deleção acidental ou maliciosa ao manter versões anteriores - Implementar **AWS Config Rules** para alertar quando lifecycle policies forem criadas ou modificadas - Criar **SCPs** que bloqueiem `s3:PutLifecycleConfiguration` exceto para roles aprovadas - Usar **CloudTrail Lake** com retenção imutável para logs de auditoria críticos ## Contexto Brasil/LATAM A adoção acelerada de cloud computing no Brasil - com o país sendo o maior mercado de cloud da América Latina - criou uma superfície de ataque significativa para técnicas de destruição de dados em ambientes IaaS. A [[aws-amazon|AWS]], Microsoft Azure e Google Cloud reportam crescimento de dois dígitos no Brasil, e muitas organizações migraram para nuvem sem implementar controles de segurança equivalentes aos de ambientes on-premises. O contexto regulatório brasileiro torna esta técnica especialmente impactante: a **LGPD** (Lei Geral de Proteção de Dados) estabelece obrigações de disponibilidade e integridade de dados pessoais, e a destruição maliciosa de dados de clientes via lifecycle policies pode gerar multas de até 2% do faturamento anual da empresa no Brasil, limitado a R$ 50 milhões por infração - além de responsabilidades civis com titulares afetados. Organizações do [[_sectors|setor financeiro]] brasileiro - bancos, fintechs e corretoras - que utilizam S3 ou equivalentes para armazenar logs de transações, contratos digitais e dados de clientes são alvos prioritários. O Banco Central do Brasil e a FEBRABAN recomendam explicitamente a segregação de backups e proteção contra deleção maliciosa em suas diretrizes de cibersegurança para o setor. Grupos de ransomware que operam na América Latina - como afiliados do [[lockbit|LockBit]] e operadores do [[blackcat|BlackCat]] - têm incorporado destruição de dados em nuvem como componente de "double extortion", destruindo backups em nuvem para maximizar a pressão sobre vítimas e eliminar a opção de recuperação sem pagamento. **Organizações brasileiras mais expostas:** - Fintechs e startups com infraestrutura 100% em nuvem - Empresas de saúde com prontuários eletrônicos em cloud - E-commerce com dados de clientes e transações em S3 - Empresas de tecnologia com pipelines de dados críticos em buckets ## Referências - [MITRE ATT&CK - T1485.001: Lifecycle-Triggered Deletion](https://attack.mitre.org/techniques/T1485/001/) - [AWS Documentation - S3 Lifecycle Policies](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html) - [AWS Security Blog - Protecting S3 data with Object Lock](https://aws.amazon.com/blogs/security/how-to-use-s3-object-lock-to-protect-against-ransomware/) - [CISA Cloud Security Advisory - Protecting Cloud Storage](https://www.cisa.gov/resources-tools/resources/cloud-security-best-practices) - [[t1485-data-destruction|T1485 - Data Destruction]] - [[t1070-indicator-removal|T1070 - Indicator Removal]] - [[m1018-user-account-management|M1018 - User Account Management]] - [[m1053-data-backup|M1053 - Data Backup]] - [[t1657-financial-theft|T1657 - Financial Theft]] --- *Fonte: [MITRE ATT&CK - T1485.001](https://attack.mitre.org/techniques/T1485/001)*