Descripción de la Tecnica
Additional Cloud Roles es una técnica de ataque patrón (attack-pattern) asociada al MITRE ATT&CK. Consiste en agregar roles o permisos adicionales a una cuenta de nube controlada por un adversario para mantener acceso persistente a un inquilino. Este método permite a los ataques mantener su presencia a largo plazo, incluso si se detectan actividades anómalas en la nube.
Como Funciona
Los atacantes pueden utilizar esta técnica modificando políticas de IAM (Identity and Access Management) en entornos basados en la nube o añadiendo roles administrativos globales en plataformas como Office 365. Por ejemplo, un adversario podría crear una cuenta con permisos elevados para acceder a recursos críticos, incluso si la cuenta original fue comprometida.
La técnica se basa en la capacidad de un atacante de aprovechar las permutaciones de roles y permisos dentro de sistemas cloud, lo que permite mantener acceso sin ser detectado por cambios normales en los registros de actividad.
Actores que la Utilizan
Esta técnica es utilizada por actores maliciosos con el objetivo de perpetuar su presencia en entornos de nube. Los atacantes pueden aprovechar vulnerabilidades en políticas IAM o manipular roles para obtener acceso a recursos críticos, incluso si la cuenta original fue comprometida.
En contextos corporativos, este tipo de ataque puede ser llevado a cabo por grupos cibernéticos o ciberdelincuentes con el fin de robar datos, realizar actividades maliciosas o establecer backdoors persistentes.
Detección
La detección de esta técnica requiere monitoreo continuo de cambios en roles y permisos dentro de la nube. Se deben buscar cambios inusuales en políticas IAM, creación de cuentas con permisos elevados o asignación de roles administrativos sin justificación documentada.
Un indicativo clave es el uso de roles de administrador global (por ejemplo, "Global Administrator" en Office 365) en entornos donde no se espera tal acceso. Además, la detección puede incluir análisis de patrones de actividad que indiquen un uso anormal de recursos cloud.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
Para mitigar el riesgo asociado a esta técnica, es fundamental implementar controles de acceso basados en principio de mínimo permiso (least privilege), realizar auditorías frecuentes de políticas IAM y monitorear cambios en roles con herramientas de seguridad avanzadas.
Se recomienda configurar alertas para actividades anómalas, como la creación de cuentas con permisos elevados o modificaciones no autorizadas en políticas de acceso. Además, se debe evitar el uso de roles administrativos globales en entornos donde no sea estrictamente necesario.