Sabotaggio dei Log Cloud: Disable or Modify Cloud Logs (T1562.008)

Per testare la resilienza dei controlli di logging, inizia con AWS utilizzando Pacu, framework di exploitation specifico per cloud. Dopo aver configurato le credenziali AWS, esegui il modulo di disabilitazione:

pacu > run cloudtrail__download_event_history pacu > run detection__disruption

In ambiente Microsoft 365, il comando PowerShell per bypassare l'audit su una mailbox specifica diventa:

Set-MailboxAuditBypassAssociation -Identity "CFO@company.com" -AuditBypassEnabled $true

Questa operazione richiede privilegi di Exchange Administrator o Global Admin. Per verificare lo stato corrente dell'auditing, utilizza Get-MailboxAuditBypassAssociation prima e dopo la modifica.

Un attacco più sottile prevede la modifica delle retention policy dei log. In AWS, modifica la configurazione CloudTrail per ridurre il periodo di conservazione:

aws cloudtrail update-trail --name production-trail --s3-bucket-name temp-bucket --no-include-global-service-events

Per Office 365, considera il downgrade della licenza tramite PowerShell MSOnline. Questa azione rimuove automaticamente le funzionalità di Advanced Auditing senza generare alert specifici.

Testa sempre in ambiente isolato con account di servizio dedicati. Documenta ogni modifica per il ripristino post-test e coordina con il SOC per validare la detection.

La detection efficace richiede monitoraggio su quattro livelli: IaaS, Identity Provider, Office Suite e SaaS. Per AWS CloudTrail, configura alert su eventi StopLogging, DeleteTrail e UpdateSink correlati con attività di utenti privilegiati.

In Azure, monitora i log azure:policy per modifiche alle configurazioni di audit. Eventi come la disabilitazione di diagnostic settings o la modifica di log analytics workspace indicano potenziale sabotaggio.

Per Microsoft 365, il log m365:unified cattura l'esecuzione di Set-MailboxAuditBypassAssociation. Crea una whitelist degli account autorizzati a modificare queste impostazioni - tipicamente solo il team di compliance dovrebbe avere questa capacità.

Un approccio comportamentale prevede il monitoraggio dell'assenza improvvisa di log. Se un account genera normalmente 500 eventi/ora e improvvisamente scende a zero, investigare immediatamente.

Implementa correlation rules che combinino:

• Modifiche alle policy di logging
• Accessi da IP anomali nelle 2 ore precedenti
• Escalation di privilegi recenti sullo stesso account

Il tuning richiede la definizione di AdminRoles autorizzati e CriticalAccounts che non dovrebbero mai avere l'auditing disabilitato. Per ambienti multi-region, estendi il monitoraggio a tutte le region per catturare tentativi di disabilitazione selettiva.

La ricostruzione post-incidente quando i log sono stati compromessi richiede creatività forense. Inizia identificando l'ultimo timestamp affidabile prima della disabilitazione - questo marca l'inizio della finestra cieca.

In AWS, esamina i metadata S3 del bucket CloudTrail. Anche se i log sono stati fermati, i file esistenti potrebbero contenere tracce dell'attività di disabilitazione stessa. Verifica anche i CloudWatch Logs per eventi di configurazione che precedono lo stop.

Per Office 365, il Unified Audit Log mantiene traccia delle modifiche alle impostazioni di audit per 90 giorni per impostazione predefinita. Query specifiche su Set-MailboxAuditBypassAssociation rivelano chi ha eseguito il comando e quando.

Fonti alternative includono:

• Log di rete perimetrali che mostrano connessioni API
• Snapshot di configurazione da backup
• Event log locali su endpoint che hanno interagito con il cloud

APT29 tipicamente disabilita l'auditing 24-48 ore prima dell'esfiltrazione massiva. Cerca pattern di accesso anomalo alle mailbox nei giorni precedenti la disabilitazione - spesso eseguono ricognizione prima di "spegnere le luci".

La timeline reconstruction richiede correlazione tra sistemi. Un indicatore chiave è la sequenza: privilege escalation → logging modification → data access → exfiltration.

APT29 (Cozy Bear) rappresenta l'unico gruppo documentato per questa tecnica specifica, caratterizzato da operazioni mirate contro tenant Microsoft 365 governativi e corporate. Il gruppo disabilita sistematicamente Purview Audit prima di procedere con l'esfiltrazione email, indicando una metodologia operativa standardizzata.

Il profilo operativo suggerisce:

• Target primari: organizzazioni con intelligence value
• Timing: disabilitazione 1-2 giorni prima dell'esfiltrazione
• Persistenza: mantengono accesso per settimane prima di agire

Pacu, tool open source per AWS exploitation, democratizza questa capacità. Monitora repository GitHub per fork customizzati che potrebbero indicare sviluppo di nuove varianti.

Pattern geografici emergenti mostrano interesse crescente da attori in Asia-Pacifico per tecniche di cloud log tampering. La convergenza tra gruppi APT tradizionali e criminali financially-motivated suggerisce che questa tecnica diventerà mainstream entro 12-18 mesi.

Indicatori predittivi includono:

• Reconnaissance su ruoli IAM con permessi di logging
• Query API ripetute su configurazioni CloudTrail/CloudWatch
• Download massivo di documentazione AWS/Azure su logging architecture

La supply chain dei tool mostra overlap interessante: gruppi che usano Cobalt Strike iniziano ad integrare moduli di cloud log manipulation. Monitora underground forum per discussioni su "cloudtrail bypass" o "office 365 audit evasion".

Analisi basata su MITRE ATT&CK Framework, documentazione di APT29 operations contro Microsoft 365 tenant, e capabilities assessment del tool Pacu per AWS exploitation. Detection strategies derivate da real-world SOC experiences in cloud-native environments.