# AN0947 — Analytic 0947 ## Descrição Detecta criação ou modificação de imagens de máquinas virtuais na nuvem (AMIs, imagens personalizadas) com mecanismos de persistência implantados, seguida de provisionamento de infraestrutura que utiliza essas imagens comprometidas. A telemetria inclui logs de auditoria de cloud (CloudTrail, Azure Activity Log), eventos de criação de AMI, registros de snapshots e correlação com instâncias provisionadas a partir de imagens recentemente modificadas. Essa técnica permite que atacantes mantenham persistência em escala, afetando toda nova instância lançada a partir da imagem implantada. **Plataformas:** IaaS ## Técnicas Relacionadas - [[t1525-implant-internal-image|T1525 — Implant Internal Image]] - [[t1578-modify-cloud-compute-infrastructure|T1578 — Modify Cloud Compute Infrastructure]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] --- *Fonte: [MITRE ATT&CK — AN0947](https://attack.mitre.org/detectionstrategies/DET0334#AN0947)*