# DC0026 — Image Deletion ## Descrição Image Deletion captura eventos de remoção de imagens de máquinas virtuais em ambientes de nuvem. A exclusão de imagens pode representar cobertura de rastros após comprometimento (remover imagem maliciosa implantada), sabotagem de capacidade de recuperação (eliminar imagens base de produção) ou limpeza legítima de imagens obsoletas. Adversários que implantam imagens backdoored podem deletá-las após o uso para eliminar evidências. Grupos com motivação destrutiva podem deletar imagens de produção para impossibilitar a reconstrução de instâncias. A técnica [[t1578-modify-cloud-compute-infrastructure|T1578 — Modify Cloud Compute Infrastructure]] inclui deleção como método de modificação destrutiva da infraestrutura. Deleções de imagens devem ser correlacionadas com: criações recentes da mesma imagem (indicando ciclo de uso malicioso), existência de instâncias em execução derivadas da imagem deletada, identidade do executante versus proprietário habitual da imagem e existência de backup ou snapshot da imagem antes da deleção. ## Telemetria | Provedor | Serviço | Evento / Operação | |---------|---------|-------------------| | AWS | EC2 / CloudTrail | `DeregisterImage`, `DeleteSnapshot` (associado) | | Azure | Compute / Activity Log | `Microsoft.Compute/images/delete` | | GCP | Compute Engine / Cloud Audit | `compute.images.delete` | | AWS | CloudTrail | `eventName: DeregisterImage` com `requestParameters.imageId` e `userIdentity` | | Azure | Azure Monitor | `operationName: Microsoft.Compute/images/delete`, `status: Succeeded` | ## Queries de Detecção **KQL — Azure Monitor (deleção de imagem de VM correlacionada com criação recente):** ```kql let imagens_criadas = AzureActivity | where OperationNameValue == "Microsoft.Compute/images/write" | where ActivityStatusValue == "Success" | project criação=TimeGenerated, resource=ResourceId, criador=Caller; AzureActivity | where OperationNameValue == "Microsoft.Compute/images/delete" | where ActivityStatusValue == "Success" | join kind=inner imagens_criadas on $left.ResourceId == $right.resource | where TimeGenerated between (criação .. (criação + 24h)) | project TimeGenerated, Caller, ResourceId, criação, criador | order by TimeGenerated desc ``` ## Técnicas Relacionadas - [[t1578-modify-cloud-compute-infrastructure|T1578 — Modify Cloud Compute Infrastructure]] — deleção como modificação destrutiva da infra - [[t1485-data-destruction|T1485 — Data Destruction]] — destruição de imagens para impedir recuperação - [[dc0015-image-creation|DC0015 — Image Creation]] — criação que precede a deleção suspeita - [[dc0028-image-metadata|DC0028 — Image Metadata]] — metadados da imagem deletada - [[dc0036-image-modification|DC0036 — Image Modification]] — modificações antes da deleção - [[ds0007-image|DS0007 — Image]] — fonte de dados pai deste componente ## Contexto LATAM > [!warning] Destruição de Imagens em Ataques Destrutivos > Ataques destrutivos patrocinados por estados e grupos de ransomware avançados incluem a deleção de imagens de VM como etapa de negação de serviço. Organizações brasileiras de infraestrutura crítica (energia, telecomúnicações, saúde) que operam em nuvem nas regiões **AWS sa-east-1** e **Azure Brazil South** devem implementar políticas de retenção obrigatória de imagens e alertas para qualquer deleção não planejada. Backups de imagens críticas em contas ou regiões separadas são uma prática recomendada para resiliência. ## Referências - [MITRE ATT&CK — DC0026 Image Deletion](https://attack.mitre.org/datacomponents/DC0026) - [MITRE ATT&CK — T1578 Modify Cloud Compute Infrastructure](https://attack.mitre.org/techniques/T1578/) - [AWS — CloudTrail DeregisterImage](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeregisterImage.html) - [Azure — Activity Log for Compute](https://learn.microsoft.com/en-us/azure/azure-monitor/essentials/activity-log)