# AN0223 — Analytic 0223 ## Descrição Detecta ataques a endpoints públicos hospedados em cloud, com cadeia: logs ALB/ELB/Cloud LB mostrando inputs semelhantes a exploits ou picos de erro, workload gerando shell ou acessando API de metadados, e saída de tráfego para novos hosts externos. A telemetria inclui logs de acesso do load balancer cloud com análise de payload para patterns de exploração, CloudTrail/Azure Activity Logs para chamadas à API de metadados EC2/IMDS e análise de NetFlow para conexões de saída de workloads para IPs externos não vistos anteriormente. Essa analítica detecta o cenário de exploração de aplicação web em cloud que frequentemente resulta em acesso a metadados de instância contendo credenciais IAM temporárias, permitindo escalonamento de acesso de comprometimento de uma aplicação web para controle total da conta cloud — um dos ataques mais devastadores em ambientes IaaS. **Plataformas:** IaaS ## Técnicas Relacionadas - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1580-cloud-infrastructure-discovery|T1580 — Cloud Infrastructure Discovery]] --- *Fonte: [MITRE ATT&CK — AN0223](https://attack.mitre.org/detectionstrategies/DET0080#AN0223)*