# DS0020 — Snapshot ## Visão Geral **Gap 1 — CloudTrail desabilitado ou incompleto** Muitas contas AWS em empresas brasileiras não têm CloudTrail configurado para todas as regiões. Adversários exploram regiões secundárias (`sa-east-1` vs `us-east-1`) para criar snapshots fora do escopo de monitoramento. **Gap 2 — Ausência de alertas sobre `ModifySnapshotAttribute`** O compartilhamento público de snapshot é o indicador mais crítico de exfiltração em andamento, mas raramente está incluso em regras de alerta padrão de SIEMs. **Gap 3 — Retenção de logs insuficiente** CloudTrail com retenção de 7 dias (padrão free tier) impede investigação forense retroativa. Recomendação: S3 com lifecycle de 12 meses + Glacier para arquivamento. **Gap 4 — Contas multi-região sem visibilidade centralizada** Organizações com múltiplas contas AWS sem AWS Organizations + CloudTrail organizations trail têm visibilidade fragmentada. **Recomendações:** - Ativar CloudTrail multi-região com logs centralizados em conta de segurança dedicada - Criar alarme CloudWatch para `ModifySnapshotAttribute` com qualquer valor público - Revisar snapshots públicos periodicamente: `aws ec2 describe-snapshots --owner-ids self --filters Name=status,Values=completed` - Considerar AWS Config Rule `ec2-ebs-snapshot-public-restorable-check` ## Descrição Snapshots são cópias pontuais de volumes em ambientes de nuvem (IaaS), capturando o estado de discos, configurações e arquivos em um momento específico. Provedores como AWS, Azure e GCP oferecem APIs nativas para criar, listar, modificar, exportar e excluir snapshots — operações que ficam registradas nos logs de auditoria da plataforma. Do ponto de vista defensivo, snapshots são fontes de dados valiosas porque adversários frequentemente os manipulam para fins de persistência, exfiltração de dados ou sabotagem de backups. A criação não autorizada de um snapshot de um volume com dados sensíveis, seguida de exportação para outra conta, é um vetor de exfiltração silencioso que não deixa rastros nos sistemas operacionais, apenas nos logs de controle da nuvem. No contexto de ambientes LATAM, onde muitas organizações adotam infraestrutura IaaS sem monitoramento adequado do plano de controle, snapshots permanecem um ponto cego crítico. A ausência de alertas sobre criação ou exportação anômala de snapshots facilita tanto o ransomware (que destrói backups antes de cifrar) quanto o espionagem industrial. ```mermaid graph TB A["☁️ Plataforma IaaS<br/>AWS / Azure / GCP"] --> B["📸 Operações de Snapshot<br/>Creaté / Copy / Delete<br/>ModifyAttribute"] B --> C["📋 Logs de Auditoria<br/>CloudTrail / Activity Log<br/>Cloud Audit Logs"] C --> D["📥 SIEM / CloudWatch<br/>Centralização multi-conta<br/>e multi-região"] D --> E{"⚠️ Detecção<br/>Snapshot público?<br/>CopySnapshot cross-account?<br/>DeleteSnapshot em massa?"} E -->|"Exfiltração"| F["🚨 Alerta<br/>T1537 / T1578.002<br/>T1490"] E -->|"Normal"| G["✅ Operação aprovada<br/>Backup legítimo"] ``` ## Componentes de Dados | Componente | ID MITRE | Descrição | Eventos Relevantes | |-----------|----------|-----------|-------------------| | Snapshot Creation | [[dc0057-snapshot-creation\|DC0057]] | Criação de nova cópia pontual de volume | AWS: `CreateSnapshot`, `CopySnapshot` | | Snapshot Deletion | [[dc0049-snapshot-deletion\|DC0049]] | Remoção de snapshot existente (destruição de backup) | AWS: `DeleteSnapshot` | | Snapshot Modification | [[dc0058-snapshot-modification\|DC0058]] | Alteração de permissões ou metadados do snapshot | AWS: `ModifySnapshotAttribute` | | Snapshot Enumeration | [[dc0047-snapshot-enumeration\|DC0047]] | Listagem de snapshots disponíveis (reconhecimento) | AWS: `DescribeSnapshots` | | Snapshot Metadata | [[dc0062-snapshot-metadata\|DC0062]] | Leitura de atributos e propriedades do snapshot | AWS: `DescribeSnapshotAttribute` | ## Como Coletar ### AWS ``` Serviço: AWS CloudTrail Eventos críticos: - CreateSnapshot → nova cópia de volume EBS - CopySnapshot → cópia entre regiões ou contas (exfiltração) - DeleteSnapshot → destruição de backup - ModifySnapshotAttribute → compartilhamento público ou com outra conta - DescribeSnapshots → reconhecimento em escala Log group: CloudTrail / S3 bucket definido na trilha Retenção recomendada: 90 dias mínimo ``` Alerta prioritário: `ModifySnapshotAttribute` com `userId=all` indica que o snapshot foi tornado **público** — comportamento quase sempre malicioso. ### Azure ``` Serviço: Azure Monitor + Activity Log Operações: - Microsoft.Compute/snapshots/write → criação/modificação - Microsoft.Compute/snapshots/delete → exclusão - Microsoft.Compute/snapshots/read → enumeração Ferramenta: az monitor activity-log list ``` ### Google Cloud ``` Serviço: Cloud Audit Logs (Admin Activity + Data Access) Métodos: - compute.snapshots.creaté - compute.snapshots.delete - compute.snapshots.setIamPolicy → alteração de permissão (crítico) Ferramenta: gcloud logging read ``` ### SIEM Para correlação no SIEM, priorize regras de detecção que combinem: 1. `CreateSnapshot` + `ModifySnapshotAttribute` (público) no mesmo intervalo de tempo 2. `CopySnapshot` para região/conta fora do padrão organizacional 3. Volume de `DeleteSnapshot` acima da baseline histórica ## Técnicas Detectadas | Técnica | Tática | Descrição do Uso | |---------|--------|-----------------| | [[t1537-transfer-data-to-cloud-account\|T1537 — Transfer Data to Cloud Account]] | Exfiltration | Criação de snapshot + cópia para conta adversária | | [[t1578-002-create-snapshot\|T1578.002 — Create Snapshot]] | Defense Evasion | Criação de snapshot antes de modificar instância (bypass de forense) | | [[t1578-001-create-cloud-instance\|T1578.001 — Create Cloud Instance]] | Defense Evasion | Snapshot usado para provisionar instância clandestina | | [[t1490-inhibit-system-recovery\|T1490 — Inhibit System Recovery]] | Impact | Exclusão de snapshots para inviabilizar recuperação após ransomware | | [[t1530-data-from-cloud-storage\|T1530 — Data from Cloud Storage]] | Collection | Montagem de snapshot para acesso direto a dados sem passar por sistema operacional | ## Gaps de Cobertura Brasil/LATAM > [!warning] Pontos Cegos Frequentes em Ambientes LATAM > A maioria dos incidentes investigados em ambientes de nuvem LATAM apresenta ausência completa de logs de plano de controle para snapshots. ## Referências - [[dc0057-snapshot-creation|DC0057 — Snapshot Creation]] - [[dc0049-snapshot-deletion|DC0049 — Snapshot Deletion]] - [[dc0058-snapshot-modification|DC0058 — Snapshot Modification]] - [[dc0047-snapshot-enumeration|DC0047 — Snapshot Enumeration]] - [[dc0062-snapshot-metadata|DC0062 — Snapshot Metadata]] - [[t1537-transfer-data-to-cloud-account|T1537 — Transfer Data to Cloud Account]] - [[t1578-002-create-snapshot|T1578.002 — Create Snapshot]] - [[t1490-inhibit-system-recovery|T1490 — Inhibit System Recovery]] - [MITRE ATT&CK — DS0020 Snapshot](https://attack.mitre.org/datasources/DS0020/)