# DC0028 — Image Metadata ## Descrição Image Metadata refere-se às informações contextuais associadas a uma imagem de máquina virtual, como nome, grupo de recursos, status (ativa ou inativa), tipo (customizada ou pré-construída), tamanho, data de criação, permissões e configurações de criptografia. Esses metadados são fundamentais para entender o estado e a configuração de imagens de VM em ambientes de nuvem. Adversários que implantam imagens maliciosas ([[t1525-implant-internal-image|T1525]]) podem manipular metadados para mascarar a origem ou natureza da imagem. Análise de metadados revela imagens com timestamps suspeitos, criadores inesperados, nomes que imitam imagens legítimas (typosquatting como `ubuntu-2004-lts-malicious`) ou imagens sem documentação de origem clara. A inspeção de metadados de imagem é uma técnica de detecção proativa: auditar periodicamente todas as imagens no registry para identificar aquelas criadas por identidades não-padrão, sem aprovação registrada, em datas fora dos ciclos de build habituais ou com hashes inconsistentes com o pipeline de CI/CD. ## Telemetria | Provedor | Serviço | Evento / Operação | |---------|---------|-------------------| | AWS | EC2 / CloudTrail | `DescribeImages`, `DescribeImageAttribute` | | Azure | Compute / Activity Log | `Microsoft.Compute/images/read` | | GCP | Compute Engine / Cloud Audit | `compute.images.get`, `compute.images.list` | | AWS | CloudTrail | `eventName: DescribeImages` com filtros por `owner-id`, `state`, `creation-daté` | | Azure | Azure Monitor | `operationName: Get Image`, `callerIpAddress`, `resourceGroup` | ## Queries de Detecção **KQL — Azure Monitor (imagens de VM criadas por identidades fora do pipeline de build):** ```kql AzureActivity | where OperationNameValue == "Microsoft.Compute/images/read" | where ActivityStatusValue == "Success" | where Caller !endswith "@myorg.com" and Caller !startswith "pipeline-sp" | project TimeGenerated, Caller, ResourceId, SubscriptionId | order by TimeGenerated desc ``` ## Técnicas Relacionadas - [[t1525-implant-internal-image|T1525 — Implant Internal Image]] — metadados revelam imagens backdoored - [[t1578-modify-cloud-compute-infrastructure|T1578 — Modify Cloud Compute Infrastructure]] — modificação de infra via imagens alteradas - [[t1580-cloud-infrastructure-discovery|T1580 — Cloud Infrastructure Discovery]] — reconhecimento via leitura de metadados de imagens - [[dc0015-image-creation|DC0015 — Image Creation]] — metadados gerados na criação - [[dc0026-image-deletion|DC0026 — Image Deletion]] — deleção de imagens suspeitas - [[dc0036-image-modification|DC0036 — Image Modification]] — alterações registradas nos metadados - [[ds0007-image|DS0007 — Image]] — fonte de dados pai deste componente ## Contexto LATAM > [!tip] Validação de Imagens em Pipelines CI/CD Brasileiros > Organizações brasileiras de tecnologia e fintech que utilizam pipelines CI/CD em nuvem devem implementar assinatura de imagens (AWS Image Builder, Azure Image Builder, Google Cloud Build) e verificação de integridade via hash antes do deploy. Imagens não assinadas ou de fontes externas representam vetor de comprometimento da cadeia de suprimentos. A rastreabilidade de imagens é também requisito implícito da **LGPD** para sistemas que processam dados pessoais — saber exatamente qual software foi executado é essencial para resposta a incidentes. ## Referências - [MITRE ATT&CK — DC0028 Image Metadata](https://attack.mitre.org/datacomponents/DC0028) - [MITRE ATT&CK — T1525 Implant Internal Image](https://attack.mitre.org/techniques/T1525/) - [AWS — EC2 Image Builder](https://docs.aws.amazon.com/imagebuilder/latest/userguide/what-is-image-builder.html) - [Azure — Azure Image Builder Overview](https://learn.microsoft.com/en-us/azure/virtual-machines/image-builder-overview)