Discovery nel Cloud: Cloud Infrastructure Discovery (T1580)

Per simulare questa tecnica nel tuo lab cloud, inizia con l'enumerazione base delle istanze EC2. Il comando AWS CLI più diretto è:

aws ec2 describe-instances --region us-east-1

Questo restituisce dettagli completi su tutte le istanze nella regione specificata. Per una ricognizione più mirata sui bucket S3:

aws s3api list-buckets

Seguita da aws s3api head-bucket --bucket nome-bucket per verificare permessi e esistenza. L'enumerazione dei database RDS richiede:

aws rds describe-db-instances

In ambiente Google Cloud Platform, l'equivalente per le VM è gcloud compute instances list, mentre per i bucket usa gsutil ls. Azure offre comandi analoghi attraverso az vm list e az storage account list.

Pacu, il framework di exploitation AWS, automatizza queste operazioni. Dopo l'installazione, esegui il modulo di enumerazione con:

run ec2__enum

run s3__enum_buckets

Questi moduli gestiscono automaticamente la paginazione delle API e organizzano l'output per analisi successive. Scattered Spider ha utilizzato tecniche simili per mappare infrastrutture di backup prima di procedere con l'esfiltrazione.

Per simulare discovery più avanzato, combina le API di enumerazione con quelle di configurazione. Ad esempio, dopo aver identificato i bucket, verifica le ACL con:

aws s3api get-bucket-acl --bucket nome-bucket

aws s3api get-public-access-block --bucket nome-bucket

L'obiettivo è costruire una mappa completa delle risorse cloud, identificando asset critici, configurazioni permissive e potenziali vie di persistenza o esfiltrazione.

Il monitoraggio efficace di questa tecnica richiede correlazione tra multiple chiamate API di discovery in finestre temporali ristrette. CloudTrail di AWS registra ogni chiamata API, permettendo detection basata su pattern comportamentali.

Configura alert per sequenze di chiamate come DescribeInstances, ListBuckets, DescribeDBInstances dalla stessa identità entro 5 minuti. Questo pattern indica enumerazione sistematica piuttosto che operazioni amministrative normali.

I falsi positivi derivano principalmente da tool di inventory management e script di automazione. Crea whitelist basate su:

• Identity ARN di account di servizio noti
• Source IP di jump server o bastion host
• User agent di tool approvati

Storm-0501 ha dimostrato pattern di enumerazione multi-servizio, passando da EC2 a RDS a S3 in rapida successione. Implementa detection che correla:

eventName = "DescribeInstances" seguito da eventName = "DescribeDBInstances" entro 300 secondi

Monitora particolarmente identità che eseguono discovery da:

• Nuove geolocation mai viste prima
• IP non associati alla tua organizzazione
• Orari anomali rispetto al normale pattern dell'utente

L'integrazione con SIEM richiede parsing accurato dei log CloudTrail. Estrai campi critici come userIdentity.arn, sourceIPAddress, eventTime per costruire timeline comportamentali.

Implementa threshold dinamici basati sul comportamento storico dell'identità. Un admin che normalmente gestisce 10 istanze che improvvisamente enumera 1000 risorse merita investigazione immediata.

L'analisi forense di questa tecnica inizia dall'esame dei log CloudTrail, concentrandosi sui campi responseElements che rivelano quali risorse l'attaccante ha effettivamente visualizzato.

Ogni chiamata API di discovery lascia tracce dettagliate. Per DescribeInstances, il campo responseElements.instancesSet mostra esattamente quali istanze sono state enumerate. Questo permette di determinare se l'attaccante ha identificato sistemi critici.

Ricostruisci la sequenza temporale correlando:

• Primo accesso compromesso (login anomalo)
• Inizio dell'enumerazione (prime API di discovery)
• Focus su risorse specifiche (API mirate)
• Azioni successive (modifica configurazioni, snapshot)

Scattered Spider ha mostrato pattern distintivi: enumerazione iniziale broad seguita da focus specifico su infrastructure di backup. Cerca questo narrowing nel comportamento.

Gli artefatti CloudTrail vanno preservati immediatamente. AWS mantiene i log per 90 giorni di default, ma eventi critici possono essere sovrascritti. Esporta in formato JSON per analisi offline:

aws cloudtrail lookup-events --lookup-attributes AttributeKey=Username,AttributeValue=compromised-user --start-time 2024-01-01 --end-time 2024-01-31

Correla con altri log sources:

• VPC Flow Logs per traffico di rete anomalo post-discovery
• S3 Access Logs per tentativi di accesso ai bucket enumerati
• RDS logs per query sospette sui database identificati

La timeline reconstruction deve evidenziare il progression dall'enumerazione iniziale alle azioni di impatto, documentando ogni risorsa toccata dall'attaccante.

Scattered Spider rappresenta il profilo più documentato per questa tecnica. Il gruppo enumera sistematicamente ambienti AWS focalizzandosi su S3 bucket contenenti backup e infrastructure di gestione server. Il loro pattern include discovery iniziale seguito da identificazione di container di storage per successive operazioni di esfiltrazione.

Storm-0501 dimostra un approccio diverso, concentrandosi sull'identificazione di asset critici, data store e risorse di backup in ambienti cloud compromessi. La loro metodologia suggerisce intelligence gathering per operazioni di ransomware o data theft su larga scala.

L'overlap nei TTP mostra che entrambi i gruppi:

• Utilizzano credenziali compromesse piuttosto che exploit
• Prioritizzano l'identificazione di backup e database
• Procedono da discovery broad a targeting specifico

Pacu emerge come tool comune nell'arsenale di gruppi che targetizzano AWS. I moduli di enumerazione del framework vengono costantemente aggiornati per sfruttare nuove API, suggerendo che i threat actor mantengono capacità evolutive.

I pattern geografici mostrano concentrazione di attività da:

• IP residential per evitare detection
• VPN exit node in paesi con giurisdizioni permissive
• Compromised cloud instances usate come proxy

La progressione tipica post-discovery include:

1. Creazione di snapshot di risorse critiche identificate
2. Modifica di bucket permissions per permettere accesso pubblico
3. Deployment di risorse compute per cryptomining o C2
4. Esfiltrazione attraverso canali cloud-nativi

L'intelligence suggerisce evoluzione verso automazione completa del processo discovery-to-impact attraverso framework custom.

Analisi basata su MITRE ATT&CK framework, documentazione delle campagne di Scattered Spider e Storm-0501, capabilities del tool Pacu. Strategie di detection derivate da AWS CloudTrail analysis e correlation patterns osservati in incident reali.