# AN1318 — Analytic 1318 ## Descrição Detecta a cadeia causa-efeito de execução em consoles de nuvem: (1) usuário clica em link e então invoca criação de instância/imagem via API; (2) instância ou imagem é originada de AMI externa ou imagem desconhecida; (3) instância imediatamente estabelece conexões de saída ou busca payloads. A telemetria inclui logs do CloudTrail (AWS), Azure Activity Logs ou Google Cloud Audit Logs, correlacionando eventos de criação de instâncias com a origem da AMI/imagem e tráfego de saída imediato. Esta detecção visa identificar comprometimento de credenciais de nuvem onde adversários criam instâncias a partir de imagens maliciosas para estabelecer presença persistente na infraestrutura de nuvem da vítima. **Plataformas:** IaaS --- ## Técnicas Relacionadas - [[t1204-user-execution|T1204 — User Execution]] - [[t1578-modify-cloud-compute-infrastructure|T1578 — Modify Cloud Compute Infrastructure]] - [[t1195-supply-chain-compromise|T1195 — Supply Chain Compromise]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] --- *Fonte: [MITRE ATT&CK — AN1318](https://attack.mitre.org/detectionstrategies/DET0478#AN1318)*