# DS0030 — Instance ## Descrição Uma instância é um ambiente de servidor virtualizado que executa cargas de trabalho, hospedado on-premises ou por provedores de nuvem de terceiros. No contexto IaaS (*Infrastructure as a Service*), instâncias são as unidades computacionais fundamentais — equivalentes virtuais de servidores físicos — provisionadas sob demanda em plataformas como AWS EC2, Azure Virtual Machines ou Google Compute Engine. Do ponto de vista de segurança, instâncias são superfícies de ataque dinâmicas com características únicas em relação a ativos on-premises: podem ser criadas e destruídas em segundos, têm metadados acessíveis via endpoint IMDS (*Instance Metadata Service*) que são frequentemente alvos de SSRF, e operam em ambientes onde a fronteira entre o plano de controle (API) e o plano de dados (SO da instância) é frequentemente mal compreendida. Grupos de ameaça como [[g1015-scattered-spider]] exploram o plano de controle de nuvem para criar instâncias de cryptomining ou pivotamento, enquanto outros atores abusam de IMDS para roubar credenciais temporárias de IAM. A monitoração de instâncias em ambientes IaaS requer visibilidade em dois níveis distintos: o plano de controle (eventos de API registrados em CloudTrail, Azure Activity Log) e o plano de dados (telemetria do SO dentro da instância). A ausência de qualquer um dos dois cria blind spots exploráveis — uma lição aprendida nas violações de infraestrutura cloud que afetaram empresas brasileiras dos setores de telecomúnicações e varejo nos últimos anos. ## Pipeline de Coleta ```mermaid graph TB A["☁️ Plano de Controle IaaS<br/>AWS EC2 API · Azure ARM<br/>GCP Compute · vCenter"] --> B["📋 Logs de API<br/>CloudTrail RunInstances<br/>Azure Activity Log"] A --> C["🖥️ Plano de Dados<br/>SO da Instância<br/>CloudWatch Logs · SSM Agent"] B --> D["🔍 Detecção Gerenciada<br/>GuardDuty · Defender for Cloud<br/>Security Command Center"] C --> D D --> E["📦 SIEM<br/>Sentinel · Splunk · Elastic"] E --> F["🚨 Alertas de Instância<br/>Mineração crypto · IMDS abuse<br/>Regiões não aprovadas"] ``` ## Componentes de Dados | Componente | ID | Descrição | Uso Principal | |---|---|---|---| | Instance Creation | [[dc0076-instance-creation\|DC0076]] | Provisionamento de nova VM/instância via API | Detectar criação não autorizada para mineração ou persistência | | Instance Modification | [[dc0073-instance-modification\|DC0073]] | Alterações em configuração: tipo, SGs, roles, tags | Detectar escalação de privilégios via modificação de IAM role | | Instance Enumeration | [[dc0075-instance-enumeration\|DC0075]] | Listagem e descoberta de instâncias existentes | Detectar reconhecimento interno em ambiente cloud | | Instance Start | [[dc0080-instance-start\|DC0080]] | Inicialização de instância parada | Detectar reativação de instâncias dormentes para uso malicioso | | Instance Stop | [[dc0089-instance-stop\|DC0089]] | Parada de instância em execução | Detectar sabotagem de workloads ou evasão de detecção | | Instance Deletion | [[dc0081-instance-deletion\|DC0081]] | Destruição permanente de instância | Detectar destruição de evidências ou sabotagem de infraestrutura | | Instance Metadata | [[dc0086-instance-metadata\|DC0086]] | Atributos estáticos: ID, tipo, região, AMI, tags | Inventário, correlação com políticas de segurança, anomalias de configuração | ## Como Coletar ### AWS - **AWS CloudTrail:** Fonte primária — registra todas as chamadas de API do plano de controle: - `RunInstances` — criação de instância - `TerminateInstances` — destruição - `StopInstances` / `StartInstances` — ciclo de vida - `ModifyInstanceAttribute` — modificações de configuração - `DescribeInstances` — enumeração (alto volume; filtrar por agente não reconhecido) - **AWS Config:** Snapshots do estado de configuração de instâncias ao longo do tempo — detectar drift de configuração. - **Amazon GuardDuty:** Detecção gerenciada de comportamentos anômalos em instâncias (ex: mineração de crypto, acesso a IMDS incomum). - **VPC Flow Logs + CloudWatch:** Tráfego de rede das instâncias para correlação com eventos de plano de controle. ### Azure - **Azure Activity Log:** Operações do Azure Resource Manager — `Microsoft.Compute/virtualMachines/write`, `delete`, `start`, `deallocaté`. - **Azure Monitor + Diagnostic Settings:** Encaminhar Activity Log para Log Analytics Workspace ou Event Hub para SIEM. - **Microsoft Defender for Cloud:** Alertas de segurança sobre criação de VMs suspeitas, modificações de configuração de segurança, exposição de portas de gerenciamento. ### GCP - **Cloud Audit Logs (Admin Activity):** `compute.instances.insert`, `delete`, `start`, `stop` — habilitados por padrão. - **Security Command Center:** Detecção de instâncias com configurações de risco (portas abertas, sem encryption). ### On-Premises (VMware / Nutanix) - **vCenter Server Events:** `VmCreatedEvent`, `VmRemovedEvent`, `VmStartingEvent` exportados via Syslog ou API para SIEM. - **Nutanix Prism Central:** API REST para auditoria de eventos de ciclo de vida de VMs. ## Técnicas Detectadas | ID | Técnica | Como DS0030 Detecta | |---|---|---| | T1578 | [[t1578-modify-cloud-compute-infrastructure\|T1578 — Modify Cloud Compute Infrastructure]] | Modificações não autorizadas em tipo de instância, SGs ou IAM instance profile | | T1578.002 | [[t1578-002-create-cloud-instance\|T1578.002 — Create Cloud Instance]] | Criação de instâncias em regiões/tipos incomuns; pico de RunInstances fora do padrão | | T1578.003 | [[t1578-003-delete-cloud-instance\|T1578.003 — Delete Cloud Instance]] | Deleção em massa de instâncias sem ticket de change management correspondente | | T1580 | [[t1580-cloud-infrastructure-discovery\|T1580 — Cloud Infrastructure Discovery]] | Alto volume de DescribeInstances de um principal IAM não-humano (script de reconhecimento) | | T1552.005 | [[t1552-005-cloud-instance-metadata-api\|T1552.005 — Cloud Instance Metadata API]] | Acesso ao endpoint 169.254.169.254 (IMDS) de processo incomum — exfiltração de credenciais temporárias | ## Gaps de Cobertura Brasil/LATAM **CloudTrail desabilitado ou com retenção mínima:** Auditorias de postura de segurança cloud em empresas brasileiras frequentemente identificam CloudTrail desabilitado em contas AWS ou configurado com retenção de apenas 7 dias — insuficiente para investigações de incidentes que se estendem por semanas. **Ausência de alertas sobre criação de instâncias em regiões incomuns:** Atacantes que comprometem chaves de acesso AWS frequentemente criam instâncias para cryptomining em regiões diferentes das usadas pela organização (ex: us-east-1 quando a organização usa apenas sa-east-1). Sem alertas sobre `RunInstances` em regiões não aprovadas, esta atividade passa despercebida até a chegada da fatura. **IMDS v1 ainda amplamente em uso:** Muitas workloads brasileiras ainda usam IMDSv1 (sem hop limit ou autenticação por sessão), tornando-as vulneráveis a ataques SSRF que roubam credenciais de IAM temporárias. A migração para IMDSv2 é frequentemente adiada por compatibilidade de aplicações legadas. **Falta de correlação plano de controle + plano de dados:** Mesmo quando CloudTrail está habilitado, a correlação com logs do SO dentro da instância (via CloudWatch Logs Agent ou SSM) raramente é implementada. Um adversário pode comprometer uma instância via exploit web e realizar reconhecimento interno sem nenhum evento de plano de controle suspeito. **Multi-cloud sem SIEM unificado:** Empresas brasileiras com presença em AWS + Azure raramente têm visibilidade unificada de eventos de instância. A fragmentação por provedor cria blind spots exploráveis por adversários que pivotam entre clouds. ## Referências - [[_detections|Central de Detecções RunkIntel]] - [[dc0076-instance-creation|DC0076 — Instance Creation]] - [[dc0073-instance-modification|DC0073 — Instance Modification]] - [[dc0086-instance-metadata|DC0086 — Instance Metadata]] - [[dc0081-instance-deletion|DC0081 — Instance Deletion]] - [[ds0031-cluster|DS0031 — Cluster]] - [[ds0032-container|DS0032 — Container]] - [MITRE ATT&CK — DS0030 Instance](https://attack.mitre.org/datasources/DS0030/) - [AWS CloudTrail — Supported Events](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)