# AN0953 — Analytic 0953 ## Descrição Detecta reversões suspeitas de instâncias de computação em nuvem monitorando restaurações incomuns de snapshots, ações de rollback ou resets de armazenamento efêmero fora de fluxos administrativos esperados. Cadeias de detecção relevantes incluem restauração de snapshot por conta nova ou raramente utilizada, sequência de criação de snapshot seguida imediatamente de restauração e inicialização de instância, ou rollbacks originados de localizações geográficas ou de rede anômalas. Esses padrões podem indicar tentativas de remover evidências forenses ou restabelecer um estado de execução limpo para persistência. **Plataformas:** IaaS ## Técnicas Relacionadas - [[t1578-modify-cloud-compute-infrastructure|T1578 — Modify Cloud Compute Infrastructure]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] --- *Fonte: [MITRE ATT&CK — AN0953](https://attack.mitre.org/detectionstrategies/DET0337#AN0953)*