# AN0960 — Analytic 0960 ## Descrição Detecta uso de tokens de metadados de instâncias entre instâncias diferentes ou uso indevido de tokens de curta duração emitidos para roles distintos. A telemetria inclui logs de auditoria de cloud (CloudTrail, Azure Monitor), análise de uso de credenciais IMDSv1/IMDSv2 e detecção de chamadas de API originadas de IPs ou instâncias inconsistentes com o papel (role) associado ao token. Esse padrão é característico de ataques SSRF que exploram o serviço de metadados de instância para roubar credenciais temporárias de nuvem. **Plataformas:** IaaS ## Técnicas Relacionadas - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] --- *Fonte: [MITRE ATT&CK — AN0960](https://attack.mitre.org/detectionstrategies/DET0338#AN0960)*