# AN0084 — Analytic 0084 ## Descrição Detecta instâncias virtuais ou workloads em ambientes IaaS que geram taxas de dados de saída sustentadas, frequentemente direcionadas a endpoints TOR, VPN ou proxy. A telemetria inclui logs de VPC Flow (AWS/GCP/Azure), registros de uso de IAM para identificar acesso anômalo, e scripts implantados como cron jobs utilizando clientes proxy. Este analítico é fundamental para identificar abuso de recursos de nuvem por cryptominers e operadores de botnet que comprometem workloads para monetização ilícita da infraestrutura da vítima. **Plataformas:** IaaS --- ## Técnicas Relacionadas - [[t1496-resource-hijacking|T1496 — Resource Hijacking]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] --- *Fonte: [MITRE ATT&CK — AN0084](https://attack.mitre.org/detectionstrategies/DET0028#AN0084)*