# AN0692 — Analytic 0692 ## Descrição Detecta quando uma nova VM/instância IaaS é lançada a partir de uma imagem não aprovada ou vista pela primeira vez (AMI/GCP Image/Azure Image), e no primeiro boot o cloud-init/user-data ou agentes embutidos baixam código, executam utilitários do sistema ou abrem tráfego de saída C2/mineração. A telemetria inclui logs de auditoria de cloud (CloudTrail `RunInstances`, GCP `compute.instances.insert`), logs de inicialização de instância e telemetria EDR em-guest que correlacionam Instance/Image Creation → Instance Start → Process/Command Execution e/ou tráfego de rede anômalo. Essa analítica é importante para detectar implantação de backdoors via imagens de VM comprometidas, uma técnica sofisticada usada em ataques a supply chain de infraestrutura cloud. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1525-implant-internal-image|T1525 — Implant Internal Image]] - [[t1578-modify-cloud-compute-infrastructure|T1578 — Modify Cloud Compute Infrastructure]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] --- *Fonte: [MITRE ATT&CK — AN0692](https://attack.mitre.org/detectionstrategies/DET0248#AN0692)*