# DC0015 — Image Creation ## Descrição Image Creation refere-se à criação inicial de uma imagem de máquina virtual (VM) dentro de um ambiente de nuvem. Imagens de VM são templates que contêm um sistema operacional e aplicações instaladas, utilizadas para implantar novas instâncias de forma rápida e padronizada. Monitorar eventos de criação de imagens é fundamental para detectar atividades suspeitas como a implantação de imagens maliciosas com backdoors ou configurações inseguras. Adversários podem explorar essa capacidade para criar imagens customizadas contendo malware, ferramentas de persistência ou configurações propositalmente vulneráveis. A técnica [[t1525-implant-internal-image|T1525 — Implant Internal Image]] descreve específicamente como agentes de ameaça implantam código malicioso em imagens legítimas para garantir execução em novas instâncias. Já [[t1578-modify-cloud-compute-infrastructure|T1578 — Modify Cloud Compute Infrastructure]] abrange a criação de imagens como vetor de modificação da infraestrutura. A detecção eficaz requer a captura de logs de auditoria dos provedores de nuvem, correlacionando eventos de criação de imagem com a identidade do usuário, região, horário e imagem de origem. Criações fora do horário comercial ou por identidades não autorizadas devem acionar alertas imediatos. ## Telemetria | Provedor | Serviço | Evento / Operação | |---------|---------|-------------------| | AWS | EC2 / CloudTrail | `CreateImage`, `CopyImage`, `RegisterImage` | | Azure | Compute / Activity Log | `Microsoft.Compute/images/write` | | GCP | Compute Engine / Cloud Audit | `compute.images.insert`, `compute.images.copyFrom` | | AWS | CloudTrail | `eventName: CreateImage` com `sourceIPAddress` e `userIdentity` | | Azure | Azure Monitor | `operationName: Microsoft.Compute/images/write`, `status: Succeeded` | ## Queries de Detecção **KQL — Azure Monitor (criação de imagem fora do horário comercial):** ```kql AzureActivity | where OperationNameValue == "Microsoft.Compute/images/write" | where ActivityStatusValue == "Success" | extend hora = datetime_part("hour", TimeGenerated) | where hora < 7 or hora > 19 | project TimeGenerated, Caller, ResourceGroup, SubscriptionId, OperationNameValue | order by TimeGenerated desc ``` ## Técnicas Relacionadas - [[t1525-implant-internal-image|T1525 — Implant Internal Image]] — implantação de código malicioso em imagem de VM - [[t1578-modify-cloud-compute-infrastructure|T1578 — Modify Cloud Compute Infrastructure]] — modificação de infraestrutura via criação de imagem maliciosa - [[T1578.002-create-cloud-instance|T1578.002 — Create Cloud Instance]] — criação de instâncias a partir de imagens comprometidas - [[dc0026-image-deletion|DC0026 — Image Deletion]] — componente complementar do ciclo de vida de imagens - [[dc0028-image-metadata|DC0028 — Image Metadata]] — metadados que acompanham imagens criadas - [[dc0036-image-modification|DC0036 — Image Modification]] — modificações pós-criação de imagem - [[ds0007-image|DS0007 — Image]] — fonte de dados pai deste componente ## Contexto LATAM > [!tip] Adoção de Nuvem no Brasil > O Brasil concentra a maior parte das cargas de trabalho em nuvem da América Latina, com presença das regiões **AWS São Paulo (sa-east-1)**, **Azure Brazil South (São Paulo)** e **GCP southamerica-east1 (São Paulo)**. Organizações brasileiras nos setores financeiro, varejo e governo são alvos frequentes de ataques que abusam de imagens de VM para persistência. > > A **LGPD (Lei Geral de Proteção de Dados)** exige rastreabilidade de acesso a dados pessoais — imagens que contêm dados sensíveis ou credenciais hardcoded representam risco regulatório direto. Eventos de criação de imagem devem ser retidos por no mínimo 1 ano para conformidade com auditorias da ANPD. ## Referências - [MITRE ATT&CK — DC0015 Image Creation](https://attack.mitre.org/datacomponents/DC0015) - [MITRE ATT&CK — T1525 Implant Internal Image](https://attack.mitre.org/techniques/T1525/) - [MITRE ATT&CK — T1578 Modify Cloud Compute Infrastructure](https://attack.mitre.org/techniques/T1578/) - [AWS — CloudTrail CreateImage](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateImage.html) - [Azure — Activity Log operations](https://learn.microsoft.com/en-us/azure/azure-monitor/essentials/activity-log)