ATT&CK para Cloud: Técnicas en IaaS y SaaS
Guía de MITRE ATT&CK para entornos cloud: técnicas específicas para AWS, Azure, GCP, Office 365, Google Workspace y SaaS. Initial Access via OAuth, Persistence con Lambda, Lateral Movement entre cuentas cloud, y detección con CloudTrail/Activity Log.
Los ataques cloud son fundamentalmente diferentes de los ataques on-premise y ATT&CK los cubre con técnicas específicas
La infraestructura cloud (AWS, Azure, GCP) y los servicios SaaS (Office 365, Google Workspace) tienen superficies de ataque distintas a los entornos tradicionales. No hay servidores físicos que comprometer: los ataques se centran en identidades (IAM), tokens de acceso, APIs mal configuradas y servicios serverless. MITRE ATT&CK integra estas técnicas en la matriz Enterprise con plataformas específicas.
Técnicas cloud por táctica
Initial Access en Cloud
| Técnica | ID | Plataforma | Método |
|---|---|---|---|
| Valid Accounts: Cloud | T1078.004 | IaaS, SaaS | Credenciales cloud robadas (access keys, tokens) |
| Trusted Relationship | T1199 | IaaS | Acceso via partner/MSP con permisos en la cuenta |
| Exploit Public-Facing App | T1190 | IaaS | Explotar app desplegada en cloud (EC2, App Service) |
| Phishing: OAuth consent | T1566.002 | SaaS | App maliciosa solicita permisos OAuth del usuario |
Consent phishing (OAuth): El atacante crea una aplicación OAuth maliciosa y engaña al usuario para que conceda permisos (leer email, acceder a archivos). Una vez concedido, el atacante tiene acceso sin necesidad de credenciales.
Detección: Monitorizar nuevas app registrations y consent grants en Azure AD / Google Admin.
Persistence en Cloud
| Técnica | ID | Método |
|---|---|---|
| Create Account: Cloud | T1136.003 | Crear usuario IAM / service principal |
| Account Manipulation: Additional Cloud Roles | T1098.003 | Añadir roles privilegiados a cuenta existente |
| Implant Internal Image | T1525 | Backdoor en AMI/VM image |
| Serverless: Create Lambda/Function | T1053* | Función Lambda como backdoor (se ejecuta por trigger) |
| Email Forwarding Rule | T1114.003 | Regla que reenvía email a buzón externo |
Detección AWS: CloudTrail events: CreateUser, CreateAccessKey, AttachUserPolicy, PutRolePolicy.
Detección Azure: Activity Log: Create service principal, Add member to role.
Privilege Escalation en Cloud
Escalada via IAM policies y roles mal configurados:
- IAM privilege escalation paths: usuario con
iam:PassRole+lambda:CreateFunctionpuede crear Lambda con rol admin - AssumeRole abuse: asumir un rol más privilegiado si la trust policy lo permite
- Instance metadata (IMDS): desde EC2/VM comprometida, obtener credenciales del rol de la instancia (IMDSv1 es vulnerable sin hop limit)
Herramienta: Pacu (AWS exploitation framework), CloudFox, ScoutSuite, Prowler para auditar.
Defense Evasion en Cloud
| Técnica | ID | Método |
|---|---|---|
| Disable Cloud Logs | T1562.008 | Desactivar CloudTrail, Activity Log |
| Modify Cloud Compute | T1578 | Modificar/snapshot de VM para análisis |
| Unused/Unsupported Cloud Regions | T1535 | Operar en regiones no monitorizadas |
| Use Alternate Authentication | T1550.001 | Usar application access tokens en vez de credenciales |
Detección critica: Alertar sobre StopLogging (CloudTrail), DeleteFlowLogs, desactivación de GuardDuty/Defender.
Lateral Movement en Cloud
| Técnica | Método |
|---|---|
| Cross-account AssumeRole | Pivotar entre cuentas AWS via roles de confianza |
| Service principal pivoting | Usar credenciales de una app para acceder a otra |
| Cloud instance to on-prem | Desde VM cloud pivotar a red corporativa (VPN/peering) |
| Shared storage access | Acceder a S3 buckets / Azure Blob de otras cuentas |
Collection y Exfiltration en Cloud
| Técnica | Método | Detección |
|---|---|---|
| S3 bucket dump | ListObjects + GetObject masivo | CloudTrail data events |
| Snapshot export | Crear snapshot de disco, compartir a cuenta externa | CloudTrail: CreateSnapshot + ModifySnapshotAttribute |
| Email export (O365) | eDiscovery abuse, Graph API mail.read | Unified Audit Log |
| Drive export (GWS) | Admin SDK para exportar Drive de usuarios | Admin console audit |
Fuentes de detección por provider
| Provider | Log principal | Herramienta nativa |
|---|---|---|
| AWS | CloudTrail + VPC Flow Logs + GuardDuty | GuardDuty, Security Hub |
| Azure | Activity Log + Sign-in Logs + Defender | Microsoft Defender for Cloud |
| GCP | Cloud Audit Logs + VPC Flow Logs | Security Command Center |
| O365 | Unified Audit Log | Microsoft Defender for O365 |
| GWS | Admin Audit Log + Login Audit | Google Workspace Security |
Conclusión
Los ataques cloud se centran en identidades y configuraciones, no en exploits de SO. CloudTrail/Activity Log son el equivalente al Event Log de Windows: la fuente principal de detección. La monitorización de IAM changes, OAuth consent grants, y desactivación de logs es el mínimo para detectar ataques cloud con ATT&CK.
Fuentes y referencias
- MITRE ATT&CK: Cloud Matrix (Enterprise)
- Rhino Security Labs: AWS IAM Privilege Escalation research
- Microsoft: "Cloud Security Benchmark" + Defender for Cloud
- DataDog: "State of Cloud Security 2025"
Preguntas frecuentes
Artículos relacionados
Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.