# DS0034 — Volume ## Descrição **Volume** é um objeto de armazenamento em bloco — hospedado on-premise ou por provedores de nuvem como AWS, Azure ou GCP — tipicamente disponibilizado para recursos computacionais como discos virtualizados. Em ambientes de nuvem, volumes como **Amazon EBS** (Elastic Block Store), **Azure Managed Disks** e **Google Persistent Disks** são a camada de armazenamento persistente para instâncias de máquinas virtuais e containers. Em ambientes on-premise, volumes correspondem a partições de disco, LUNs SAN ou volumes lógicos LVM. Do ponto de vista de segurança, a monitoração de operações sobre volumes é crítica em múltiplos cenários: exfiltração de dados via criação de snapshots ou volumes clonados, destruição de dados por exclusão de volumes críticos, persistência via modificação de imagens de disco, e movimentação lateral em ambientes IaaS por meio da montagem de volumes de outras instâncias. Em ambientes de nuvem, adversários com permissões IAM suficientes podem criar snapshots de volumes de produção e exportá-los para contas externas em questão de minutos — uma técnica de exfiltração com altíssima relação custo-benefício para o atacante. No contexto brasileiro, o crescimento acelerado da adoção de nuvem pública — especialmente AWS e Azure nos setores financeiro, varejo e governo — amplia a superfície de exposição relacionada a volumes. Organizações sem visibilidade em operações de snapshot e volume frequentemente descobrem exfiltrações apenas durante auditorias forenses, muito após o comprometimento inicial. ## Visão Geral **Consulta AWS CloudTrail Insights:** ```sql -- Detectar compartilhamento de snapshot com contas externas SELECT eventTime, userIdentity.arn, requestParameters.snapshotId, requestParameters.createVolumePermission FROM cloudtrail_logs WHERE eventName = 'ModifySnapshotAttribute' AND requestParameters.createVolumePermission IS NOT NULL ORDER BY eventTime DESC ``` ### Azure — Monitor e Defender for Cloud **Operações críticas no Azure Resource Manager:** | Operação ARM | Descrição | Log | |---|---|---| | `Microsoft.Compute/disks/write` | Criação ou modificação de Managed Disk | Activity Log | | `Microsoft.Compute/disks/delete` | Exclusão de Managed Disk | Activity Log | | `Microsoft.Compute/snapshots/write` | Criação de snapshot | Activity Log | | `Microsoft.Compute/disks/beginGetAccess/action` | Geração de SAS URL para download de disco | Activity Log — **Alta prioridade** | ### Linux — LVM e Montagem de Volumes ```bash # Auditd — monitorar operações de montagem -a always,exit -F arch=b64 -S mount -S umount2 -k volume_mount -w /etc/fstab -p wa -k volume_fstab_modification # Monitorar criação de volumes LVM -w /sbin/lvcreaté -p x -k lvm_creaté -w /sbin/lvremove -p x -k lvm_remove -w /sbin/vgcreaté -p x -k vg_creaté ``` ### Integração com SIEM | SIEM | Método | Query de Exemplo | |---|---|---| | **Microsoft Sentinel** | Conector AWS CloudTrail + Azure Activity | `AWSCloudTrail | where EventName in ("CreateSnapshot","ModifySnapshotAttribute","CopySnapshot")` | | **Splunk** | AWS Add-on for Splunk + input CloudTrail | `sourcetype=aws:cloudtrail eventName=ModifySnapshotAttribute` | | **Elastic (ECS)** | Filebeat AWS module + CloudTrail input | `event.action: ec2:ModifySnapshotAttribute` | ## Pipeline de Coleta ```mermaid graph TB A["💾 Plataformas de Volume<br/>AWS EBS · Azure Managed Disk<br/>GCP Persistent Disk · LVM"] --> B["📋 APIs de Auditoria<br/>CloudTrail CreateSnapshot<br/>ModifySnapshotAttribute<br/>Azure Activity Log"] A --> C["⚙️ AWS Config / Policy<br/>Conformidade de criptografia<br/>Volumes órfãos desanexados"] B --> D["🔍 CloudTrail Insights<br/>Anomalias de API calls<br/>Cross-account snapshot share"] C --> D D --> E["📦 SIEM<br/>Sentinel · Splunk · Elastic"] E --> F["🚨 Alertas de Volume<br/>Exfiltração via snapshot<br/>Deleção em massa · Wiper"] ``` ## Componentes de Dados | Componente | ID | Descrição | |---|---|---| | Volume Creation | [[dc0097-volume-creation\|DC0097]] | Criação de novo volume de bloco ou snapshot (on-prem ou cloud) | | Volume Deletion | [[dc0098-volume-deletion\|DC0098]] | Exclusão de volume (pode indicar destruição de dados ou limpeza de evidências) | | Volume Modification | [[dc0092-volume-modification\|DC0092]] | Alteração em volume existente — resize, mudança de tipo, troca de chave de criptografia | | Volume Enumeration | [[dc0095-volume-enumeration\|DC0095]] | Listagem de volumes disponíveis (precursor de acesso não autorizado) | | Volume Metadata | [[dc0100-volume-metadata\|DC0100]] | Leitura de metadados de volume — tags, tamanho, estado de criptografia, região | ## Como Coletar ### AWS — CloudTrail e AWS Config **Eventos CloudTrail críticos para monitorar volumes EBS:** | API Call | Serviço | Descrição | Prioridade | |---|---|---|---| | `CreateVolume` | EC2 | Criação de novo volume EBS | Alta | | `DeleteVolume` | EC2 | Exclusão de volume EBS | Alta | | `CreateSnapshot` | EC2 | Criação de snapshot de um volume | Crítica | | `CopySnapshot` | EC2 | Cópia de snapshot (possívelmente para outra conta/região) | Crítica | | `ModifySnapshotAttribute` | EC2 | Modificação de permissões de snapshot — **principal vetor de exfiltração** | Crítica | | `ShareSnapshotCross-Account` | EC2 | Compartilhamento de snapshot com outra conta AWS | Crítica | | `AttachVolume` | EC2 | Montagem de volume em instância (pode indicar movimentação lateral) | Alta | | `DetachVolume` | EC2 | Desmontagem de volume | Média | > [!danger] Alerta de Exfiltração — ModifySnapshotAttribute > A técnica de snapshot sharing é um vetor de exfiltração frequentemente negligenciado. Um atacante com permissão `ec2:ModifySnapshotAttribute` pode compartilhar qualquer snapshot com uma conta AWS externa e baixar os dados sem aparecer nos logs de transferência de dados da conta vítima. Monitorar esta API call com destino a `userId` fora da lista de contas autorizadas é prioridade máxima. ## Técnicas Detectadas | Técnica | Descrição | |---|---| | [[t1537-transfer-data-to-cloud-account\|T1537 — Transfer Data to Cloud Account]] | Exfiltração via snapshot sharing para conta AWS/Azure externa ao ambiente da vítima | | [[t1530-data-from-cloud-storage\|T1530 — Data from Cloud Storage]] | Acesso a dados em volumes de armazenamento cloud com credenciais comprometidas | | [[t1485-data-destruction\|T1485 — Data Destruction]] | Exclusão de volumes e snapshots como parte de ataques destrutivos (wiper) | | [[t1484-domain-or-tenant-policy-modification\|T1484 — Domain or Tenant Policy Modification]] | Modificação de políticas de acesso a volumes para persistência ou escalonamento de privilégios em IaaS | | [[t1078-004-cloud-accounts\|T1078.004 — Cloud Accounts]] | Uso de contas cloud comprometidas para criar e exportar volumes/snapshots sem autorização | ## Gaps de Cobertura Brasil/LATAM > [!warning] Gap — Visibilidade em Contas AWS Multi-Region > Organizações brasileiras que utilizam AWS frequentemente habilitam CloudTrail apenas na região `us-east-1` ou `sa-east-1`, perdendo visibilidade de operações em regiões onde snapshots podem ser copiados para exfiltração. Habilitar CloudTrail como trail organizacional multi-região é pré-requisito básico. **Lacunas identificadas em ambientes LATAM:** 1. **CloudTrail sem Insights habilitado:** A funcionalidade CloudTrail Insights detecta automaticamente padrões anômalos de API calls, mas tem custo adicional e raramente é habilitada. Sem ela, criação em volume de snapshots passa despercebida. 2. **Ausência de SCP (Service Control Policies):** Em contas AWS sem SCP bloqueando `ec2:ModifySnapshotAttribute` para destinos externos, qualquer credencial comprometida com permissão EC2 pode exfiltrar discos inteiros. 3. **Snapshots sem criptografia:** Grande parte das organizações brasileiras não habilita criptografia de EBS por padrão, facilitando a leitura de dados exfiltrados via snapshot sharing. 4. **Volumes órfãos não monitorados:** Volumes desanexados de instâncias encerradas raramente são monitorados ou removidos, representando dados persistentes que podem ser montados por atacantes. **Recomendações:** - Habilitar AWS CloudTrail organizacional com log de todas as regiões e integrar ao SIEM - Criar alerta imediato para `ModifySnapshotAttribute` com `userId` fora da lista de contas autorizadas - Habilitar criptografia EBS por padrão via AWS Config Rule `encrypted-volumes` - Implementar SCP bloqueando compartilhamento cross-account de snapshots sem aprovação explícita - Inventariar e remover volumes EBS desanexados (`state: available`) via AWS Config ## Referências - [[dc0097-volume-creation|DC0097 — Volume Creation]] — criação de volumes e snapshots - [[dc0098-volume-deletion|DC0098 — Volume Deletion]] — exclusão de volumes (destruição de dados) - [[dc0092-volume-modification|DC0092 — Volume Modification]] — modificações em volumes existentes - [[t1537-transfer-data-to-cloud-account|T1537 — Transfer Data to Cloud Account]] — exfiltração via snapshot cross-account - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] — acesso a dados em volumes cloud - [[ds0020-snapshot|DS0020 — Snapshot]] — fonte complementar para eventos de snapshot --- *Fonte: [MITRE ATT&CK — DS0034](https://attack.mitre.org/datasources/DS0034)*