# T1021.007 - Cloud Services ## Descrição **Cloud Services** (sub-técnica de [[t1021-remote-services|T1021 - Remote Services]]) descreve o abuso de serviços de nuvem legítimos como vetor de movimentação lateral. Adversários autenticam em plataformas como Microsoft Azure, AWS, Google Cloud Platform, Microsoft 365 e outras soluções SaaS corporativas usando [[t1078-valid-accounts|contas válidas]] sincronizadas ou federadas com identidades on-premises comprometidas. O mecanismo central é a **federação de identidades**: ao comprometerem um usuário no Active Directory local, os adversários herdam automaticamente acesso a todos os serviços de nuvem sincronizados via Azure AD Connect, ADFS, ou provedores de identidade similares. Isso significa que a obtenção de um único conjunto de credenciais pode abrir o plano de controle completo de toda a infraestrutura cloud da organização - uma superfície de ataque vastamente expandida em relação ao ambiente on-premises. No contexto **Brasil/LATAM**, essa sub-técnica tornou-se crítica à medida que empresas brasileiras aceleraram a adoção de Microsoft 365, Azure e ambientes híbridos. Grupos como [[g0016-apt29|APT29]] (Cozy Bear) são notoriamente especializados em explorar ambientes híbridos, enquanto [[g1015-scattered-spider|Scattered Spider]] e [[g1053-storm-0501|Storm-0501]] documentaram extensivamente o uso de autenticação em serviços cloud após comprometimento de help desk e engenharia social. Setores financeiro, de telecomúnicações e grandes empresas de varejo no Brasil são alvos prioritários desses grupos. > [!warning] Relevância Brasil > A adoção acelerada de Microsoft 365 e Azure em organizações brasileiras criou uma superfície de ataque híbrida onde credenciais de domínio comprometidas concedem acesso imediato ao plano de controle de nuvem. Ataques de **adversary-in-the-middle (AiTM)** contra usuários corporativos brasileiros usando serviços de phishing-as-a-service (como EvilProxy e Tycoon2FA) têm como objetivo exatamente roubar tokens de sessão para usar nesta técnica. > [!info] Técnica Pai > Esta é uma sub-técnica de [[t1021-remote-services|T1021 - Remote Services]]. Consulte a nota pai para o contexto completo de movimentação lateral via serviços remotos. --- ## Attack Flow ```mermaid graph TB A([Credenciais<br/>Obtidas]) --> B{Tipo de\nIdentidade} B -->|Credencial de\ndomínio federada| C[Azure AD /<br/>Entra ID] B -->|Token de sessão\nroubado via AiTM| D[Microsoft 365<br/>SaaS] B -->|App Token /\nService Principal| E[IaaS<br/>AWS / GCP / Azure] C --> F:::highlight D --> F E --> F F([Acesso ao Plano<br/>de Controle Cloud]) F --> G[Criação de<br/>Contas Backdoor] F --> H[Exfiltração de<br/>Dados SharePoint/S3] F --> I[Deploy de<br/>VM / Cryptominer] G --> J([Persistência<br/>Longo Prazo]) H --> J I --> J classDef highlight fill:#e74c3c,color:#fff ``` --- ## Como Funciona ### Passo 1 - Comprometimento de Identidade Federada O adversário obtém credenciais de um usuário cujo domínio AD é sincronizado com um provedor de identidade em nuvem (Azure AD Connect, ADFS, Okta, etc.). Alternativamente, pode roubar tokens de sessão ativos via ataques AiTM ([[t1557-adversary-in-the-middle|Adversary-in-the-Middle]]) ou capturar tokens de aplicação ([[t1528-steal-application-access-token|Steal Application Access Token]]) via malware ou apps OAuth maliciosos. Em alguns casos, adversários abusam de [[t1550-001-app-access-token|Application Access Tokens]] registrados por aplicações legítimas para autenticar sem necessidade de senha de usuário. ### Passo 2 - Autenticação no Plano de Controle Cloud Com as credenciais ou tokens em mãos, o adversário conecta-se diretamente às interfaces de gerenciamento cloud. Para Azure, utiliza `Connect-AzAccount` (Azure PowerShell), `Connect-MgGraph` (Microsoft Graph PowerShell), ou o portal `portal.azure.com`. Para AWS, usa `aws configure` com chaves de acesso roubadas ou `aws sts assume-role` para elevar privilégios. Para GCP, `gcloud auth login` ou tokens de serviço. Conexões via [[t1059-009-cloud-api|Cloud API]] são particularmente difíceis de detectar por parecerem operações administrativas legítimas. ### Passo 3 - Movimentação Lateral e Impacto Uma vez autenticado, o adversário enumera recursos, permissões e acessos disponíveis. Ações típicas incluem: criação de contas backdoor com privilégios permanentes ([[t1136-create-account|Creaté Account]]), exfiltração de dados de SharePoint, OneDrive, S3 ou GCS ([[t1530-data-from-cloud-storage|Data from Cloud Storage]]), deploy de instâncias de compute para cryptomining ou beaconing de C2, e pivot para outros serviços SaaS conectados via OAuth. [[g1015-scattered-spider|Scattered Spider]] documentadamente usa esse acesso para alcançar plataformas de seguro, sistemas de backup e ambientes de produção críticos. --- ## Detecção ### Fontes de Log Críticas (Cloud) | Plataforma | Log / Fonte | O que Monitorar | |------------|-------------|-----------------| | **Azure / M365** | Azure AD Sign-in Logs | Logons de IPs incomuns, novos ASNs, países não esperados | | **Azure / M365** | Unified Audit Log | `Connect-AzAccount`, criação de contas, acesso a SharePoint | | **AWS** | CloudTrail | `AssumeRole`, `GetSessionToken`, `ConsoleLogin` de IPs suspeitos | | **GCP** | Cloud Audit Logs | `gcloud auth login`, criação de service accounts | | **Okta / IdP** | System Log | Autenticações com MFA bypass, impossível travel | ### Event IDs e Alertas Relevantes (Azure AD) | Sinal | Operação | Indicador de Comprometimento | |-------|----------|------------------------------| | Logon de novo país | `Sign-in activity` | Usuário nunca logou nesse país antes | | Token refresh sem MFA | `UserLoggedIn` | Token gerado sem segundo fator (AiTM bypass) | | Criação de Service Principal | `Add service principal` | Novo app com permissões elevadas | | Adição de credencial a app | `Add service principal credentials` | Backdoor em aplicação existente | | Acesso fora do horário | `Sign-in activity` | Logon às 3h no fuso de São Paulo | ### Sigma Rule - Autenticação Suspeita via Cloud CLI ```yaml title: Suspicious Cloud CLI Authentication - Lateral Movement id: f3a9c2d7-8b4e-4f1a-bc3d-9e2a5f7c0d41 status: experimental description: Detecta uso de CLIs de nuvem (Azure PowerShell, AWS CLI, gcloud) por processos incomuns ou em contexto de movimento lateral, indicando possível abuso de credenciais federadas para acesso a serviços cloud. references: - https://attack.mitre.org/techniques/T1021/007 author: RunkIntel daté: 2026-03-24 tags: - attack.lateral_movement - attack.t1021.007 logsource: product: windows category: process_creation detection: selection_azure: CommandLine|contains: - 'Connect-AzAccount' - 'Connect-MgGraph' - 'az login' selection_aws: CommandLine|contains: - 'aws configure' - 'aws sts assume-role' - 'aws sts get-session-token' selection_gcp: CommandLine|contains: - 'gcloud auth login' - 'gcloud auth activaté-service-account' filter_expected: ParentImage|endswith: - '\devenv.exe' - '\code.exe' - '\WindowsTerminal.exe' condition: (selection_azure or selection_aws or selection_gcp) and not filter_expected fields: - CommandLine - ParentImage - User - ComputerName falsepositives: - Desenvolvedores e times de DevOps realizando operações legítimas - Automações de CI/CD em agentes de build autorizados level: medium ``` --- ## Mitigação > [!tip] Priorização para Organizações Brasileiras > Organizações no Brasil que operam ambientes híbridos (AD + M365/Azure) devem priorizar MFA resistente a phishing e monitoramento de Conditional Access como primeira linha de defesa. A federação de identidades sem controles adequados é o maior risco. | Prioridade | Controle | Implementação Prática | |------------|----------|-----------------------| | **Crítica** | [[m1032-multi-factor-authentication\|MFA Resistente a Phishing (M1032)]] | Implementar FIDO2 / passkeys ou MFA via hardware (YubiKey) para contas privilegiadas. MFA via SMS é insuficiente contra AiTM. Habilitar Conditional Access no Azure AD com políticas de compliant device. | | **Crítica** | [[m1026-privileged-account-management\|Gestão de Contas Privilegiadas (M1026)]] | Separar contas cloud das contas de domínio. Contas de Global Admin/Owner nunca devem ter sincronização com AD on-premises. Usar PIM (Privileged Identity Management) para acesso just-in-time. | | **Alta** | Monitoramento de Tokens | Configurar alertas no Azure AD para tokens gerados sem MFA (CAE - Continuous Access Evaluation). Revogar tokens ativos imediatamente ao detectar comprometimento. | | **Alta** | Restrição de App OAuth | Revisar e restringir aplicações OAuth com acesso a dados sensíveis (SharePoint, Exchange). Habilitar aprovação de admin para novos apps de terceiros. | | **Média** | Revisão de Service Principals | Auditar regularmente Service Principals e Managed Identities com permissões elevadas. Eliminar credenciais de aplicação desnecessárias. | --- ## Threat Actors e Software Associado > [!note] Grupos Especializados em Ambientes Cloud Híbridos ### Grupos que Utilizam T1021.007 **[[g0016-apt29|APT29]] (Cozy Bear / Midnight Blizzard)** - APT russo patrocinado pelo SVR, notoriamente especializado em ambientes híbridos. Responsável pelo comprometimento do Microsoft 365 de diversas organizações governamentais e tecnológicas. Usa técnicas avançadas de token theft e abuse de aplicações OAuth para persistência de longo prazo em plataformas cloud. Representa risco direto a subsidiárias brasileiras de empresas globais. **[[g1015-scattered-spider|Scattered Spider]]** - Grupo de língua inglesa especializado em engenharia social e comprometimento de ambientes cloud. Conhecido por ataques a help desks para resetar MFA e obter acesso inicial, seguido de movimentação lateral via Azure AD e outras plataformas SaaS. Documentou vítimas no setor de tecnologia e telecomúnicações globalmente. **[[g1053-storm-0501|Storm-0501]]** - Grupo ransomware que opera em ambientes híbridos. Documentado pela Microsoft como operador que compromete identidades on-premises para mover-se lateralmente a ambientes Azure AD e Entra ID, culminando em deploy de ransomware tanto on-premises quanto em VMs cloud. ### Ferramentas e Técnicas Relacionadas | Ferramenta / Técnica | Tipo | Uso nesta Sub-técnica | |----------------------|------|----------------------| | [[t1059-009-cloud-api\|Cloud API (T1059.009)]] | Técnica | Execução de comandos via APIs de gerenciamento cloud | | [[t1550-001-app-access-token\|App Access Token (T1550.001)]] | Técnica | Autenticação sem senha via tokens de aplicação | | [[t1528-steal-application-access-token\|Token Theft (T1528)]] | Técnica | Roubo de tokens OAuth/SAML para bypass de MFA | | [[t1557-adversary-in-the-middle\|AiTM (T1557)]] | Técnica | Roubo de sessões autenticadas via proxy reverso | | [[mimikatz\|Mimikatz]] | Ferramenta | Extração de tokens Kerberos para uso em AD federado | --- *Fonte: [MITRE ATT&CK - T1021.007](https://attack.mitre.org/techniques/T1021/007)*