# DC0036 — Image Modification ## Descrição Image Modification captura alterações feitas a uma imagem de máquina virtual existente, incluindo modificações de configuração, adição ou remoção de software, alterações de permissões e atualizações de metadados. Em nuvem, isso corresponde tipicamente a operações PATCH ou UPDATE em APIs de imagem como Azure Compute Images PATCH, AWS AMI copy com modificações ou GCP image patches. Esta é uma das técnicas mais insidiosas de persistência em ambientes cloud: adversários que comprometem uma conta com permissões de gerenciamento de imagens podem modificar imagens existentes e amplamente utilizadas para incluir backdoors, rootkits ou ferramentas de C2. Toda nova instância lançada a partir de uma imagem comprometida carregará o código malicioso automaticamente — garantindo persistência massiva sem necessidade de acesso individual a cada VM. Esta é a essência da técnica [[t1525-implant-internal-image|T1525 — Implant Internal Image]]. Controles compensatórios incluem: assinatura de imagens com verificação de integridade obrigatória no boot, pipelines de build imutáveis onde imagens nunca são modificadas (apenas recriadas), e alertas para qualquer operação PATCH/UPDATE em imagens de produção. ## Telemetria | Provedor | Serviço | Evento / Operação | |---------|---------|-------------------| | AWS | EC2 / CloudTrail | `ModifyImageAttribute`, `CopyImage` (com modificações), `CreateImage` (de instância modificada) | | Azure | Compute / Activity Log | `Microsoft.Compute/images/write` (PATCH) | | GCP | Compute Engine / Cloud Audit | `compute.images.setLabels`, `compute.images.setIamPolicy` | | AWS | CloudTrail | `eventName: ModifyImageAttribute` com `requestParameters` e `userIdentity.arn` | | Azure | Azure Monitor | `operationName: Create or Updaté Image`, `httpRequest.method: PATCH` | ## Queries de Detecção **KQL — Azure Monitor (modificação de imagem de VM por identity não autorizada):** ```kql AzureActivity | where OperationNameValue == "Microsoft.Compute/images/write" | where ActivityStatusValue == "Success" | where Caller !in ("[email protected]", "[email protected]") | project TimeGenerated, Caller, ResourceGroup, ResourceId, Properties | order by TimeGenerated desc ``` ## Técnicas Relacionadas - [[t1525-implant-internal-image|T1525 — Implant Internal Image]] — implantação de código malicioso em imagem modificada - [[t1578-modify-cloud-compute-infrastructure|T1578 — Modify Cloud Compute Infrastructure]] — modificação de infraestrutura via alteração de imagem - [[dc0015-image-creation|DC0015 — Image Creation]] — nova imagem pode ser criada a partir de instância modificada - [[dc0028-image-metadata|DC0028 — Image Metadata]] — metadados atualizados na modificação - [[dc0026-image-deletion|DC0026 — Image Deletion]] — deleção após uso da imagem modificada - [[ds0007-image|DS0007 — Image]] — fonte de dados pai deste componente ## Contexto LATAM > [!danger] Supply Chain via Imagens de VM > Ataques de supply chain via imagens de VM são uma ameaça crescente para organizações que compartilham golden images entre múltiplas contas ou business units. No Brasil, provedores de serviços gerenciados (MSPs) que distribuem imagens base para clientes representam um multiplicador de risco significativo. A contaminação de uma única imagem pode comprometer dezenas de organizações clientes. Políticas de imutabilidade de imagens e pipelines de build auditáveis são controles críticos, especialmente para organizações sob regulação do **Banco Central** e **ANPD**. ## Referências - [MITRE ATT&CK — DC0036 Image Modification](https://attack.mitre.org/datacomponents/DC0036) - [MITRE ATT&CK — T1525 Implant Internal Image](https://attack.mitre.org/techniques/T1525/) - [AWS — AMI Security Best Practices](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIEncryption.html) - [Azure — Shared Image Gallery Security](https://learn.microsoft.com/en-us/azure/virtual-machines/shared-image-galleries)