CEVIU Logo
Voltar
Cegando a defesa: abuso de serviços de logging na nuvem para evasão e ocultação
🛡️CEVIU Segurança da Informação

Cegando a defesa: abuso de serviços de logging na nuvem para evasão e ocultação

Aprofundamento CEVIU

Aprofundamento

Atacantes não estão mais só apagando logs, eles estão cegando defensores com precisão cirúrgica. O alvo é o próprio mecanismo de visibilidade: o router (trail no AWS, sink no Google Cloud), o destino (S3 bucket ou log bucket) e até a criptografia que protege os registros. Isso não é ruído operacional. É um ataque coordenado ao sistema de 'memória' da nuvem, onde cada log deveria ser uma prova forense imutável, mas vira uma fonte manipulável.

O risco real está na falsa sensação de segurança: enquanto os painéis do SIEM continuam ativos, os dados que alimentam esses painéis já foram desviados, criptografados com chaves inacessíveis ou sobrescritos com eventos falsos. E o pior: técnicas como o uso de sinks novos ou trails direcionados para contas externas não geram alertas óbvios, especialmente em ambientes sem monitoramento de criação de recursos de logging via EventBridge ou Cloud Audit Logs.

Por que isso importa

Isso não é sobre 'perda de logs'. É sobre perda de soberania operacional. Quando um atacante controla o fluxo de logs, ele define o que o SOC vê, e o que nunca vai ver. Um único trail redirecionado para uma conta maliciosa pode entregar em tempo real toda mudança de política IAM, toda nova instância EC2, todo acesso a bucket S3 com dados sensíveis. E se o defensor não souber que há um segundo 'cérebro' coletando tudo, a investigação começa tarde, e termina com conclusões erradas.

Linha do tempo

  1. CEVIU analisa logs de WAF como fonte subutilizada de detecção de ameaças

  2. CEVIU mostra como ferramentas de enumeração como ROADtools são usadas por atores avançados para mapear nuvem

  3. Nova análise revela táticas ofensivas diretas contra serviços de logging na nuvem: desativação, envenenamento, redirecionamento e criptografia hostil

Perguntas frequentes

Como saber se meu CloudTrail foi comprometido por um atacante?

Verifique se há trails com destinos para buckets fora de sua organização (via describe-trails + list-buckets). Busque por trails com status 'Stopped' inesperadamente ou com KMS keys que não pertençam ao seu domínio de chaves. Ative o CloudTrail Lake ou integrações com EventBridge para alertar em tempo real sobre criação ou modificação de trails.

O recurso de integridade de arquivos do CloudTrail resolve o problema de log poisoning?

Resolve parcialmente: ele detecta alterações *após* a entrega, mas não impede que o atacante baixe, edite e reenvie o arquivo antes da validação. A proteção real exige combinar integridade com políticas estritas de S3 (como Object Lock + WORM) e controle de acesso granular (GetObject/GetObjectVersion bloqueado para usuários não autorizados).

Por que o Google Cloud permite que um log bucket seja deletado mesmo com retenção configurada?

O bucket entra em estado DELETE_REQUESTED por sete dias, mas isso só ajuda se alguém notar a ação. O problema é que a exclusão não é imediata nem irreversível por padrão. A proteção efetiva exige ativar o lock permanente (retention policy locked), o que impede qualquer exclusão até o prazo final de retenção expirar, mesmo para administradores.

Links relacionados

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
23 de junho de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Assinar newsletterVer mais de CEVIU Segurança da Informação
Conteúdo curado diariamenteDiversas categoriasCancele quando quiser