CIRT da AWS: Como Prevenir a Remoção Não Autorizada de Contas do AWS Organizations

O que é o CIRT da AWS e por que isso importa

A Equipe de Resposta a Incidentes de Clientes da AWS (CIRT) atua diretamente com organizações que estão enfrentando incidentes de segurança ativos. Ao longo desse trabalho, a equipe identifica padrões e táticas emergentes usadas por agentes maliciosos — especialmente aquelas que exploram configurações e decisões de design dos próprios clientes.

O alerta mais recente do CIRT chama atenção para uma abordagem que vem crescendo: após comprometer uma conta AWS, o invasor tenta removê-la do AWS Organizations da organização. O objetivo é simples — escapar dos controles, políticas e visibilidade que a estrutura do Organizations oferece.

Como o ataque funciona

Tudo começa com a obtenção da permissão organizations:LeaveOrganization. Quem tem esse acesso pode chamar a API LeaveOrganization, que, quando executada a partir de uma conta membro, solicita a saída dessa conta da organização.

Um detalhe importante: o ataque não exige necessariamente credenciais root comprometidas. O invasor pode partir de qualquer credencial e escalar privilégios até obter essa permissão — seja assumindo uma role que já a possui, seja concedendo a permissão à credencial atual. Isso reforça por que a abordagem de menor privilégio é tão fundamental. Para aprofundar, a AWS disponibiliza a documentação do AWS Identity and Access Management (IAM) e orientações sobre design de unidades organizacionais (OU) e implementação de políticas de controle de serviço (SCP).

O impacto: o que acontece quando uma conta sai da organização

Quando uma conta é removida do Organizations, uma série de proteções deixa de existir imediatamente:

• As SCPs que bloqueavam ações destrutivas, restringiam regiões ou impediam chamadas de API específicas deixam de ser aplicadas.
• A conta sai do faturamento consolidado, e os alertas de custo e detecção de anomalias da organização param de monitorá-la.
• As trilhas organizacionais do AWS CloudTrail param de capturar eventos da conta removida.
• Os alertas do Amazon GuardDuty gerenciados via administrador delegado deixam de chegar à conta central de segurança.

O resultado prático é que a organização perde visibilidade completa sobre a conta — enquanto ela ainda contém recursos e dados da empresa.

Técnicas relacionadas no catálogo de ameaças

O CIRT mapeou esse padrão de ataque em entradas específicas do catálogo de técnicas de ameaças para AWS:

• T1078.A002: Usuário Root da Conta — acesso inicial via credenciais root comprometidas
• T1078.004: Contas Cloud — acesso inicial via credenciais IAM comprometidas
• T1098: Manipulação de Conta — escalada de privilégios e modificação de configurações para manter controle
• T1666.A002: Saída do AWS Organizations — remoção de conta membro para contornar SCPs e controles de governança
• T1562.008: Desativação de Logs na Nuvem — perda de visibilidade de logging centralizado após a saída da organização

Como detectar essa técnica

Quando uma conta tenta sair de uma organização, pelo menos duas chamadas de API são registradas no CloudTrail: organizations:AcceptHandshake e organizations:LeaveOrganization. Se você tem logging centralizado, esses podem ser os últimos eventos que você verá da conta comprometida antes de ela sair da organização e passar a registrar eventos apenas em seus próprios logs locais.

Os eventos do CloudTrail associados a contas entrando ou saindo de uma organização devem ser investigados sempre que não fizerem parte de um fluxo operacional aprovado pela equipe. Os principais eventos a monitorar incluem: conta membro saindo da organização, conta aceitando convite para entrar em outra organização, organização convidando a conta, e conta de gerenciamento removendo uma conta membro.

Como se proteger: passos recomendados

1. Implemente uma SCP que bloqueie a saída da organização

A medida mais direta e eficaz é criar uma SCP que negue a ação organizations:LeaveOrganization. A AWS oferece orientações detalhadas sobre como implementar esse controle, incluindo o JSON da política e recomendações de design de OU para acomodar migrações legítimas de contas sem abrir mão da proteção em ambientes de produção e desenvolvimento.

As SCPs funcionam como barreiras que limitam o que qualquer política IAM pode permitir dentro das contas membro. O CIRT recomenda fortemente que toda organização que usa o AWS Organizations verifique hoje mesmo se essa SCP está em vigor — e a implemente caso ainda não esteja. É um controle rápido de aplicar e com impacto operacional mínimo.

2. Aplique o princípio do menor privilégio no IAM

Como essa ação pode partir de qualquer credencial IAM comprometida que tenha a permissão organizations:LeaveOrganization — não apenas do root —, limitar quais usuários e roles podem adicionar ou remover contas, alterar políticas, assumir outras roles ou modificar suas próprias permissões reduz significativamente os caminhos disponíveis para um invasor.

A recomendação é revisar periodicamente as políticas IAM em busca de permissões excessivamente amplas, com atenção especial para: iam:AttachRolePolicy, iam:AttachUserPolicy, iam:PutRolePolicy e sts:AssumeRole com políticas de confiança abrangentes.

3. Proteja as credenciais root

O comprometimento do root continua sendo um dos vetores de entrada mais comuns para esse padrão de ataque. As medidas recomendadas são: habilitar autenticação multifator (MFA) em todos os usuários root, excluir quaisquer chaves de acesso root existentes e adotar o gerenciamento centralizado de acesso root para remover completamente as credenciais root das contas membro.

Um padrão mais amplo que merece atenção

O CIRT aponta que essa técnica reflete uma tendência mais ampla: agentes maliciosos estão cada vez mais familiarizados com o funcionamento dos controles de governança da AWS e tomam medidas deliberadas para separar contas das proteções que a organização oferece. Desabilitar o CloudTrail, excluir detectores do GuardDuty e remover contas do Organizations são variações da mesma estratégia — eliminar os guardrails e a visibilidade que limitariam a ação do invasor e ajudariam a organização a responder.

Os controles para prevenir isso já estão disponíveis e são simples de implementar. O ponto de partida recomendado é seguir as orientações da equipe do AWS Organizations e implementar a SCP DenyLeaveOrganization — o controle de maior impacto e menor esforço para essa técnica específica. A partir daí, revisar a cobertura de SCPs em toda a estrutura de OUs, garantir que credenciais root e permissões IAM estejam devidamente protegidas em todas as contas membro, e assegurar que os processos de detecção e resposta contemplem essa técnica contribuem para uma postura de segurança mais robusta.

O Catálogo de Técnicas de Ameaças para AWS inclui orientações de detecção para as técnicas subjacentes a esse padrão de ataque.

Recursos adicionais

• Catálogo de Técnicas de Ameaças para AWS — Matrix
• T1078.A002: Usuário Root da Conta
• T1078.004: Contas Cloud
• T1098: Manipulação de Conta
• T1666.A002: Saída do AWS Organizations
• Controles essenciais de segurança para prevenir remoção não autorizada de contas no AWS Organizations
• Gerenciar centralmente o acesso root para contas membro
• Políticas de Controle de Serviço do AWS Organizations
• Amazon GuardDuty
• Guia do Usuário do AWS CloudTrail

Fonte

CIRT insights: How to help prevent unauthorized account removals from AWS Organizations (https://aws.amazon.com/blogs/security/cirt-insights-how-to-help-prevent-unauthorized-account-removals-from-aws-organizations/)