# DC0047 — Snapshot Enumeration ## Descrição Snapshot Enumeration corresponde ao processo de listagem ou recuperação de metadados sobre snapshots existentes em um ambiente de nuvem. Snapshots são cópias pontuais de volumes de armazenamento, máquinas virtuais ou bancos de dados. A enumeração dessas cópias permite que um adversário mapeie quais backups estão disponíveis, identifique snapshots compartilhados públicamente ou com outras contas, e planeje ataques subsequentes como exfiltração de dados ou destruição de backups. Adversários que comprometem credenciais de nuvem frequentemente realizam enumeração de snapshots como etapa de reconhecimento. Snapshots podem conter dados sensíveis como credenciais hardcoded em volumes, dumps de banco de dados ou configurações de aplicação. Em campanhas de ransomware cloud-native, a enumeração precede a deleção de snapshots para impedir recuperação de dados. A coleta deste componente de dados depende da habilitação de CloudTrail (AWS), Azure Monitor Logs e GCP Cloud Logging para capturar chamadas de API de listagem de snapshots. Alertas devem ser configurados para enumeração em larga escala ou tentativas de acesso a snapshots de outras contas. ## Telemetria | Plataforma | Fonte de Log | Evento / API Call | Notas | |------------|-------------|-------------------|-------| | AWS | CloudTrail | `DescribeSnapshots`, `ListSnapshots`, `GetSnapshotAttributes` | Filtrar por `eventName` no CloudTrail | | Azure | Azure Monitor / Activity Log | `Microsoft.Compute/snapshots/read` | Visível no Log Analytics Workspace | | GCP | Cloud Logging | `compute.disks.listSnapshots`, `compute.snapshots.list` | Filtrar por `protoPayload.methodName` | | AWS RDS | CloudTrail | `DescribeDBSnapshots`, `DescribeDBClusterSnapshots` | Cobrir snapshots de banco de dados também | ## Queries de Detecção ### KQL — Azure: enumeração em massa de snapshots ```kql AzureActivity | where OperationNameValue == "Microsoft.Compute/snapshots/read" | summarize Count = count() by CallerIpAddress, Caller, bin(TimeGenerated, 10m) | where Count > 10 | project TimeGenerated, Caller, CallerIpAddress, Count | order by Count desc ``` ## Técnicas Relacionadas | Técnica | Nome | Relação | |---------|------|---------| | [[t1580-cloud-infrastructure-discovery\|T1580-cloud-infrastructure-discovery]] | Cloud Infrastructure Discovery | Técnica primária — enumeração de snapshots é um vetor comum de T1580 | | [[t1526-cloud-service-discovery\|T1526-cloud-service-discovery]] | Cloud Service Discovery | Contexto de reconhecimento cloud mais amplo | | [[t1619-cloud-storage-object-discovery\|T1619-cloud-storage-object-discovery]] | Cloud Storage Object Discovery | Frequentemente combinado com enumeração de snapshots de storage | > **Ver também:** [[ds0020-snapshot|DS0020 — Snapshot]], [[dc0049-snapshot-deletion]], [[dc0057-snapshot-creation]], [[dc0058-snapshot-modification]], [[dc0062-snapshot-metadata]] ## Contexto LATAM > [!info] Snapshots como alvo em ataques de ransomware no Brasil > Grupos de ransomware ativos na América Latina, como [[ransomware-alphv-blackcat|ALPHV/BlackCat]] e [[lockbit|LockBit]], têm incorporado etapas de enumeração e destruição de snapshots cloud em seus playbooks de ataque. No Brasil, onde empresas do setor financeiro e de varejo mantêm infraestrutura crítica na AWS e Azure, snapshots EBS e Azure Disk frequentemente contêm dados sujeitos à [[LGPD]]. A exposição não autorizada de snapshots compartilhados públicamente configura incidente notificável à ANPD dentro de 72 horas. Times de segurança devem auditar regularmente snapshots públicos com ferramentas como AWS Trusted Advisor ou Microsoft Defender for Cloud. ## Referências - [MITRE ATT&CK — DC0047 Snapshot Enumeration](https://attack.mitre.org/datacomponents/DC0047) - [MITRE ATT&CK — T1580 Cloud Infrastructure Discovery](https://attack.mitre.org/techniques/T1580/) - [AWS CloudTrail — DescribeSnapshots](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeSnapshots.html) - [Azure Monitor — Activity Log Reference](https://learn.microsoft.com/en-us/azure/azure-monitor/essentials/activity-log) - [GCP Cloud Logging — Audit Logs](https://cloud.google.com/logging/docs/audit)