# DC0057 — Snapshot Creation
## Descrição
Snapshot Creation captura o processo de criação de uma cópia pontual de um volume de armazenamento em nuvem (arquivos, configurações, settings), máquina virtual ou banco de dados. Snapshots podem ser criados legitimamente para fins de backup, migração ou recuperação de desastres, mas também são abusados por adversários como técnica de exfiltração de dados em ambientes cloud.
O cenário adversarial mais comum envolve a criação de um snapshot de volume EBS, Azure Disk ou GCP Disk contendo dados sensíveis, seguida do compartilhamento desse snapshot com uma conta de nuvem controlada pelo atacante. Essa técnica — mapeada para T1537 (Transfer Data to Cloud Account) — permite exfiltrar grandes volumes de dados sem movimentação direta de dados pela rede, evadindo controles de DLP tradicionais baseados em inspeção de tráfego.
A detecção requer monitoramento de chamadas de API `CreateSnapshot` em AWS CloudTrail, `Microsoft.Compute/snapshots/write` no Azure e `compute.disks.createSnapshot` no GCP. Criações fora de janelas de backup aprovadas, por identidades não autorizadas ou em volumes com dados críticos devem disparar alertas de alta prioridade.
## Telemetria
| Plataforma | Fonte de Log | Evento / API Call | Notas |
|------------|-------------|-------------------|-------|
| AWS EC2/EBS | CloudTrail | `CreateSnapshot`, `CreateSnapshots` | Verificar `requestParameters.volumeId` |
| AWS RDS | CloudTrail | `CreateDBSnapshot`, `CreateDBClusterSnapshot` | Snapshots manuais de banco de dados |
| Azure | Activity Log | `Microsoft.Compute/snapshots/write` | Correlacionar com `Microsoft.Compute/snapshots/read` subsequente |
| GCP | Cloud Logging | `compute.disks.createSnapshot` | `protoPayload.resourceName` indica o disco de origem |
## Queries de Detecção
### KQL — Azure: criação de snapshot por identidade não autorizada
```kql
AzureActivity
| where OperationNameValue == "microsoft.compute/snapshots/write"
| where ActivityStatusValue == "Success"
| join kind=leftanti (
// Lista de identidades autorizadas para criar snapshots
datatable(AuthorizedCaller:string)["
[email protected]", "
[email protected]"]
) on $left.Caller == $right.AuthorizedCaller
| project TimeGenerated, Caller, CallerIpAddress, ResourceGroup, Resource
| order by TimeGenerated desc
```
## Técnicas Relacionadas
| Técnica | Nome | Relação |
|---------|------|---------|
| [[t1537-transfer-data-to-cloud-account\|T1537-transfer-data-to-cloud-account]] | Transfer Data to Cloud Account | Técnica primária — snapshot criado e compartilhado com conta externa para exfiltração |
| [[t1580-cloud-infrastructure-discovery\|T1580-cloud-infrastructure-discovery]] | Cloud Infrastructure Discovery | Criação de snapshot após enumeração de volumes com dados sensíveis |
| [[t1567-exfiltration-over-web-service\|T1567-exfiltration-over-web-service]] | Exfiltration Over Web Service | Contexto mais amplo de exfiltração cloud-native |
> **Ver também:** [[ds0020-snapshot|DS0020 — Snapshot]], [[dc0047-snapshot-enumeration]], [[dc0058-snapshot-modification]], [[dc0062-snapshot-metadata]], [[t1537-transfer-data-to-cloud-account|T1537-transfer-data-to-cloud-account]]
## Contexto LATAM
> [!info] Exfiltração via snapshots no contexto LGPD
> A técnica de exfiltração via criação e compartilhamento de snapshots tem sido observada em incidentes envolvendo organizações financeiras no Brasil, onde volumes EBS frequentemente contêm dados de clientes sujeitos à [[LGPD]]. A transferência não autorizada de snapshots contendo dados pessoais para contas externas configura violação grave com potencial de multa de até 2% do faturamento nacional. Organizações devem implementar Service Control Policies (AWS) ou Azure Policy para restringir criação de snapshots a contas e regiões autorizadas, além de configurar alertas no AWS GuardDuty para `UnauthorizedAccess:EC2/TorIPCaller` correlacionado a eventos de CreateSnapshot.
## Referências
- [MITRE ATT&CK — DC0057 Snapshot Creation](https://attack.mitre.org/datacomponents/DC0057)
- [MITRE ATT&CK — T1537 Transfer Data to Cloud Account](https://attack.mitre.org/techniques/T1537/)
- [AWS — Sharing an Amazon EBS Snapshot](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-modifying-snapshot-permissions.html)
- [Rhino Security Labs — AWS Snapshot Exfiltration](https://rhinosecuritylabs.com/aws/aws-privilege-escalation-methods-mitigation/)
- [Microsoft Defender for Cloud — Snapshot Security Recommendations](https://learn.microsoft.com/en-us/azure/defender-for-cloud/recommendations-reference)