Enumerazione Account Cloud: Account Discovery/Cloud Account (T1087.004)

L'enumerazione degli account cloud sfrutta comandi nativi che raramente vengono bloccati. In Azure AD, il cmdlet PowerShell più diretto è Get-MsolRoleMember, che elenca membri di ruoli specifici. Per ottenere tutti gli utenti del tenant:

Get-MsolUser -All | Select DisplayName,UserPrincipalName,IsLicensed

La Azure CLI offre funzionalità equivalenti con output strutturato JSON. Il comando base per enumerare tutti gli utenti è:

az ad user list --output table

Per AWS, la ricognizione IAM inizia sempre con la lista degli utenti. I comandi fondamentali includono aws iam list-users per gli utenti e aws iam list-roles per i ruoli. Una catena d'attacco tipica prevede:

aws iam list-users | jq '.Users[].UserName'
aws iam list-groups | jq '.Groups[].GroupName'
aws iam list-attached-user-policies --user-name [TARGET]

Google Cloud Platform richiede un approccio diverso focalizzato sui service account. L'enumerazione base utilizza:

gcloud iam service-accounts list --format="table(email,displayName)"
gcloud projects get-iam-policy [PROJECT_ID]

AADInternals automatizza l'enumerazione Azure AD con funzioni dedicate come Get-AADIntUsers. ROADTools va oltre, creando database locali dell'intera struttura AD per analisi offline. Pacu per AWS include moduli specifici come iam__enum_users_roles_policies che concatenano automaticamente le discovery.

L'approccio stealth prevede di limitare le query, utilizzare account compromessi con permessi di lettura directory già assegnati e alternare i metodi di accesso tra GUI, CLI e API per evitare pattern riconoscibili.

La detection efficace richiede di distinguere l'enumerazione malevola dalle normali operazioni amministrative. In Microsoft Entra ID Audit Logs, monitorate le operazioni Directory.Read.All eseguite da principal non autorizzati.

Una regola Sentinel efficace correla volumi anomali di query directory in finestre temporali ristrette:

AuditLogs
| where OperationName has_any ("List users", "Get user", "List groups")
| summarize QueryCount = count() by Identity, bin(TimeGenerated, 5m)
| where QueryCount > 50

Per AWS CloudTrail, focalizzatevi su pattern di chiamate IAM consecutive. Eventi critici includono ListUsers, ListRoles, ListGroups eseguiti da identità non amministrative:

eventName = List* AND userIdentity.type != "AssumedRole" 
AND sourceIPAddress NOT IN (trusted_ranges)

Azure Activity Logs traccia l'uso di CLI con user agent specifici. Correlate az CLI o AWS CLI da endpoint non gestiti con geolocalizzazioni anomale. Il tuning richiede di escludere automation account noti e IP range amministrativi.

Per Office 365, PowerShell cmdlet come Get-Recipient generano eventi nel Unified Audit Log. Impostate soglie volumetriche (>100 query/ora) e correlate con sessioni da endpoint non gestiti.

I falsi positivi derivano principalmente da script di provisioning, tool SIEM che effettuano inventory e sincronizzazioni HR. Create allowlist basate su ServicePrincipalId per Azure e IAM Role ARN per AWS.

L'enumerazione cloud lascia tracce distribuite su molteplici log source. In Azure AD, il Sign-in log registra il token di autenticazione utilizzato, mentre l'Audit log cattura le operazioni directory.

La timeline reconstruction inizia identificando il primo accesso anomalo:

SigninLogs 
| where ResultType == 0 and UserAgent has "python" 
| project TimeGenerated, UserPrincipalName, IPAddress, AppDisplayName

Correlate con le successive query di enumerazione nell'Audit log per mappare la progressione dell'attacco. EventID 4662 nei Domain Controller on-premise può indicare enumerazione ibrida se l'ambiente usa Azure AD Connect.

AWS CloudTrail fornisce dettagli granulari inclusi parametri delle API call. Cercate sequenze di eventTime ravvicinati con pattern ListUsers → GetUser → ListAttachedUserPolicies che indicano enumerazione mirata.

La campagna C0027 ha dimostrato pattern specifici: download bulk di membri di gruppi Azure AD seguito da query mirate su attributi email. Storm-0501 utilizza AzureHound che genera pattern riconoscibili di query Graph API massive in sessioni di 10-15 minuti.

Artefatti critici includono: cache token OAuth in %USERPROFILE%.azure, history files di AWS CLI in ~/.aws/cli/cache, e log di Azure CLI in %USERPROFILE%.azure\logs. PowerShell Transcript Logging cattura l'esecuzione di cmdlet MSOL se abilitato.

APT29 ha integrato l'enumerazione Azure AD nelle operazioni standard post-compromissione. Il gruppo utilizza tecniche di living-off-the-cloud, sfruttando token rubati per query API legittime che simulano comportamenti amministrativi normali.

Storm-0501 rappresenta l'evoluzione verso tool automatizzati. L'uso di AzureHound indica capacità avanzate di mappatura automatica delle relazioni tra identità, gruppi e risorse Azure. Il gruppo opera con pattern prevedibili: enumerazione massiva iniziale seguita da targeting selettivo di account con ruoli Global Administrator o Application Administrator.

Scattered Spider durante C0027 ha mostrato preferenza per l'ingegneria sociale combinata con enumerazione cloud. Il gruppo scarica liste bulk di membri dei gruppi per identificare target per attacchi di SIM swapping, focalizzandosi su attributi email e numeri di telefono.

L'overlap nei tool è significativo: AADInternals e ROADTools appaiono in molteplici campagne, indicando una standardizzazione nell'arsenale degli attaccanti cloud. La tendenza emergente vede l'integrazione di capacità di enumerazione in framework C2 mainstream.

Geograficamente, l'origine degli attacchi si distribuisce globalmente grazie all'uso di VPN e cloud proxy. I pattern temporali mostrano picchi durante orari lavorativi del target per mascherarsi nel traffico legittimo.

Tecnica MITRE ATT&CK T1087.004 documenta dettagli su Cloud Account discovery. Campagna C0027 analizzata in report Scattered Spider 2022. Detection patterns validati su Microsoft Sentinel e AWS GuardDuty. Best practice IAM da Azure Security Benchmark v3 e AWS Well-Architected Framework.