# AN0853 — Analytic 0853 ## Descrição Esta analítica detecta quando a exploração de workloads em nuvem resulta em terminação/reinicialização repetida de containers, serviços ou VMs, tipicamente associada a triggers de crash baseados em CVE ou payloads de fuzzing. A telemetria utilizada inclui logs de plataformas IaaS como CloudWatch da AWS ou Azure Monitor para eventos de saúde de instância, correlacionados com tráfego de entrada incomum precedendo os ciclos de reinicialização. Esta detecção é relevante para ambientes Kubernetes e ECS, onde containers reiniciando em loop após receber tráfego malicioso podem indicar tentativas de exploração ativa de vulnerabilidades em aplicações containerizadas. **Plataformas:** IaaS --- ## Técnicas Relacionadas - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] - [[t1499-endpoint-denial-of-service|T1499 — Endpoint Denial of Service]] - [[t1068-exploitation-for-privilege-escalation|T1068 — Exploitation for Privilege Escalation]] - [[t1610-deploy-container|T1610 — Deploy Container]] --- *Fonte: [MITRE ATT&CK — AN0853](https://attack.mitre.org/detectionstrategies/DET0304#AN0853)*