Spegnere i Log Cloud: Disable or Modify Cloud Logs (T1562.008)

La simulazione di questa tecnica in un laboratorio cloud richiede un account con permessi elevati — tipicamente un ruolo IAM con policy AdministratorAccess o equivalenti. L'obiettivo è dimostrare al cliente quanto sia facile spegnere la visibilità e quanto tempo impiega il SOC ad accorgersene.

Ambiente AWS — Disabilitazione di CloudTrail

Il primo scenario prevede l'uso diretto della CLI AWS. Per arrestare il logging su un trail esistente:

aws cloudtrail stop-logging --name management-trail

Questo singolo comando interrompe la raccolta eventi. Per un approccio più aggressivo, si può eliminare completamente il trail:

aws cloudtrail delete-trail --name management-trail

Un attaccante sofisticato potrebbe preferire un approccio più sottile, disattivando solo il logging multi-region o la validazione dell'integrità dei file di log:

aws cloudtrail update-trail --name management-trail --no-is-multi-region-trail --no-enable-log-file-validation

Per simulare la rimozione delle notifiche SNS — impedendo così agli alert downstream di attivarsi — il comando è:

aws sns delete-topic --topic-arn

Il tool Pacu (open source), sviluppato da Rhino Security Labs, automatizza queste operazioni attraverso moduli dedicati. Pacu può enumerare i trail attivi, disabilitarli e interrompere i VPC Flow Logs con pochi comandi interattivi. Dopo l'installazione tramite pip, si avvia una sessione e si esegue il modulo pertinente:

run detection__enum_services

seguito dai moduli di disabilitazione specifici per CloudTrail e Flow Logs. La forza di Pacu sta nella sua capacità di concatenare le azioni in un flusso d'attacco realistico.

Ambiente Microsoft 365 — Disabilitazione audit mailbox

Per replicare lo scenario Office 365, si utilizza il modulo Exchange Online PowerShell. Dopo la connessione al tenant:

Set-MailboxAuditBypassAssociation -Identity "utente@dominio.com" -AuditBypassEnabled $true

Questo cmdlet esclude l'utente specificato dall'auditing delle operazioni sulla casella di posta. In un engagement reale, si consiglia di documentare lo stato pre-modifica con Get-MailboxAuditBypassAssociation e ripristinare immediatamente dopo il test. L'intera sequenza va concordata con il cliente, poiché la disattivazione dell'audit crea un reale gap di visibilità durante il test.

Il paradosso di questa tecnica è evidente: l'attaccante spegne esattamente ciò che usi per vederlo. La strategia difensiva deve quindi concentrarsi su due fronti — intercettare l'atto stesso della disabilitazione e rilevare l'assenza anomala di log.

Log source IaaS e regole di correlazione

Per ambienti AWS, il log source primario è CloudTrail stesso — con l'ironia che l'ultimo evento registrato sarà proprio la chiamata API che lo spegne. Le API call critiche da monitorare sono StopLogging, DeleteTrail, UpdateTrail e DeleteFlowLogs. In GCP, le operazioni equivalenti si tracciano tramite i log di configurazione (gcp:config), cercando eventi di tipo UpdateSink o eliminazione di log sink.

La regola deve correlare queste API call con l'identità dell'attore. Il tuning è fondamentale: definire una lista esplicita di ruoli autorizzati a modificare la configurazione di logging (AdminRoles) e generare alert solo quando l'operazione proviene da un'identità fuori da quella lista. Senza questo filtro, le operazioni DevOps legittime genereranno un volume di falsi positivi insostenibile.

Un secondo livello di detection — spesso trascurato — è il monitoraggio dell'assenza. Se un account o una region smette improvvisamente di generare eventi CloudTrail, questo "silenzio" è di per sé un segnale. Strumenti come Amazon Detective (a pagamento) o regole custom in Sigma (open source) possono implementare questo tipo di check su base temporale.

Ambiente Identity Provider e Office 365

Per ambienti Azure AD, i log azure:policy catturano le modifiche alle policy di audit. L'alert va tarato sugli account ad alto valore — amministratori globali, account di servizio con accesso privilegiato — perché una modifica al logging su questi account è quasi sempre un indicatore di compromissione. Il tuning parameter CriticalAccounts serve esattamente a questo: una whitelist di account il cui audit non deve mai essere disabilitato.

Nel contesto Microsoft 365, il log source m365:unified traccia le esecuzioni di Set-MailboxAuditBypassAssociation. L'alert più efficace combina due segnali: l'esecuzione del cmdlet e l'assenza successiva di eventi di audit per quell'utente. Se un utente che generava centinaia di eventi di mailbox access al giorno improvvisamente ne genera zero, qualcosa è cambiato.

Per i servizi SaaS terzi (Slack, Salesforce, Zoom), il principio è identico: monitorare i log di audit delle console amministrative (saas:audit) e definire quali integrazioni di log export sono obbligatorie (IntegrationScope), generando alert immediati alla loro rimozione.

L'analisi forense di un incidente che coinvolge la disabilitazione dei log cloud è, per definizione, un esercizio nel ricostruire ciò che manca. Il gap temporale tra lo spegnimento del logging e il suo ripristino è la zona d'ombra in cui l'attaccante ha operato liberamente.

Ricostruzione del punto di disabilitazione

Il primo artefatto da cercare è l'ultimo evento registrato nel trail CloudTrail o nel log sink GCP prima dell'interruzione. Questo evento — tipicamente StopLogging o DeleteTrail — contiene informazioni preziose: l'identità IAM che ha eseguito la chiamata, l'IP sorgente, il userAgent e il timestamp esatto. In AWS, gli eventi CloudTrail vengono consegnati ai bucket S3 con un ritardo tipico di pochi minuti; se il bucket non è stato svuotato, i file JSON compressi sono ancora disponibili.

Per estrarre la cronologia delle chiamate API legate a CloudTrail prima della disabilitazione, l'analista può usare la CLI AWS con il comando aws cloudtrail lookup-events filtrando per EventName specifici, oppure interrogare direttamente Athena se i log sono stati configurati per la query.

Artefatti Microsoft 365

Nel caso di disabilitazione audit su Exchange Online, il punto di partenza è il Unified Audit Log del tenant, cercando le esecuzioni di Set-MailboxAuditBypassAssociation. L'evento registra il Caller (chi ha eseguito il cmdlet), il Target (la mailbox modificata) e il timestamp. Da quel momento in poi, qualsiasi accesso alla mailbox dell'utente target non è stato registrato.

L'analista dovrebbe incrociare questo timestamp con i sign-in log di Azure AD per lo stesso periodo, cercando accessi anomali — IP inusuali, geolocalizzazioni impossibili, user-agent atipici — che suggeriscano l'uso di credenziali compromesse. Il caso documentato di APT29 è emblematico: il gruppo ha disabilitato Purview Audit su account specifici prima di esfiltrare email da tenant Microsoft 365. L'analista che trova un gap nell'audit log di un account dovrebbe immediatamente verificare se la licenza è stata modificata (downgrade da E5 a E3) o se il bypass è stato abilitato.

Fonti compensative

Quando i log cloud primari sono stati eliminati, le fonti secondarie diventano essenziali. I log dei load balancer, i DNS query log di Route 53, i VPC Flow Logs (se non anch'essi disabilitati) e i log di accesso ai bucket S3 possono fornire indizi sulle attività svolte durante il blackout. Anche i log di billing — le API call per la creazione di nuove risorse generano costi — rappresentano una fonte inaspettata ma utile per ricostruire la timeline.

APT29 — noto anche come Cozy Bear, attribuito alla Russia — rappresenta il caso di studio principale per questa tecnica. Il gruppo ha dimostrato una comprensione sofisticata dell'ecosistema di auditing Microsoft 365, disabilitando Purview Audit su account mirati prima di procedere all'esfiltrazione di email. Questa non è una mossa opportunistica: è una precauzione operativa che rivela una pianificazione metodica della catena d'attacco.

Il pattern comportamentale è significativo. APT29 non disabilita il logging su tutto il tenant — un'azione che attirerebbe attenzione immediata — ma lo fa chirurgicamente sui singoli account di interesse. Questo approccio selettivo è coerente con il profilo del gruppo: operazioni a lungo termine orientate alla raccolta di intelligence, con un'attenzione maniacale all'OPSEC.

Tool overlap e implicazioni operative

Il software Pacu, pur essendo un tool open source per il penetration testing, implementa esattamente le stesse tecniche utilizzate da attori reali contro infrastrutture AWS. Questo rende il monitoraggio delle API call di disabilitazione logging una priorità indipendente dall'attore specifico: che si tratti di un APT nation-state o di un insider threat con accesso IAM privilegiato, le chiamate API sono le stesse.

Dal punto di vista della threat intelligence, la disabilitazione dei log cloud è quasi sempre un precursore — mai un obiettivo finale. Quando un analista TI identifica questo pattern nella telemetria di un incidente, la domanda operativa non è "hanno spento i log" ma "cosa hanno fatto mentre i log erano spenti". La risposta, nel caso di APT29, è stata tipicamente l'accesso massivo a comunicazioni email di alto valore. Per altri attori, la fase successiva potrebbe coinvolgere la creazione di risorse per il cryptomining, l'esfiltrazione di dati da storage cloud o l'impianto di backdoor persistenti in ambienti serverless.

L'analista TI dovrebbe mantenere un monitoraggio attivo sui cambi di licenza Microsoft 365 come indicatore anticipatorio: un downgrade da E5 a E3 su un account VIP che non corrisponde a decisioni IT documentate è un red flag che merita investigazione immediata.

Framework MITRE ATT&CK v16 — Tecnica T1562.008 (Defense Evasion, TA0005). Gruppo: G0016. Software: S1091. Mitigazione: M1018. Detection: DET0289, AN0801–AN0804. Integrato con conoscenza professionale per tool e procedure operative.