# DC0073 — Instance Modification ## Descrição Instance Modification captura mudanças realizadas em uma máquina virtual (VM) ou instância de computação em nuvem, incluindo alterações em configuração, metadados, políticas de acesso anexadas ou estado operacional. Essas modificações abrangem atualização de metadados de instância (user-data), anexação ou remoção de políticas IAM, redimensionamento de instâncias, modificação de configurações de rede (grupos de segurança, IP público) e alteração de opções do serviço de metadados (IMDSv1 vs IMDSv2). Do ponto de vista adversarial, a modificação de instâncias representa uma técnica poderosa de persistência e escalada de privilégios em cloud. Um adversário com permissão `ec2:ModifyInstanceAttribute` pode, por exemplo, injetar um novo par de chaves SSH via user-data, desabilitar IMDSv2 para facilitar SSRF contra o serviço de metadados, ou modificar o perfil IAM da instância para assumir permissões mais elevadas. No Azure, a modificação de `Microsoft.Compute/virtualMachines/write` pode incluir adição de extensões maliciosas que executam scripts arbitrários. A detecção eficaz requer correlação entre identidade, recurso modificado e o tipo específico de modificação. Modificações ao user-data de instâncias de produção fora de pipelines de CI/CD aprovados, ou alterações de IAM role em instâncias não relacionadas a mudanças de infraestrutura, são sinais de alta fidelidade. ## Telemetria | Plataforma | Fonte de Log | Evento / API Call | Notas | |------------|-------------|-------------------|-------| | AWS | CloudTrail | `ModifyInstanceAttribute`, `ModifyInstanceMetadataOptions`, `AssociateIamInstanceProfile` | Verificar `requestParameters.attribute` para identificar o tipo de modificação | | AWS | CloudTrail | `RebootInstances`, `StartInstances`, `StopInstances` | Mudanças de estado operacional | | Azure | Activity Log | `Microsoft.Compute/virtualMachines/write`, `Microsoft.Compute/virtualMachines/extensions/write` | Extensions são vetor crítico de execução maliciosa | | GCP | Cloud Logging | `instances.setMetadata`, `instances.addResourcePolicies`, `instances.resize` | `protoPayload.request` contém os metadados modificados | ## Queries de Detecção ### KQL — Azure: instalação de extensão VM não autorizada ```kql AzureActivity | where OperationNameValue == "microsoft.compute/virtualmachines/extensions/write" | where ActivityStatusValue == "Success" | extend ExtensionDetails = parse_json(Properties) | extend ExtensionType = tostring(ExtensionDetails.type) | where ExtensionType !in ("MicrosoftMonitoringAgent", "DependencyAgentLinux", "AzureMonitorLinuxAgent", "AzureMonitorWindowsAgent") | project TimeGenerated, Caller, CallerIpAddress, Resource, ExtensionType, ResourceGroup | order by TimeGenerated desc ``` ## Técnicas Relacionadas | Técnica | Nome | Relação | |---------|------|---------| | [[t1578-modify-cloud-compute-infrastructure\|T1578-modify-cloud-compute-infrastructure]] | Modify Cloud Compute Infrastructure | Técnica primária — modificação de instância como subtécnica T1578.004 | | [[t1552-unsecured-credentials\|T1552-unsecured-credentials]] | Unsecured Credentials | Modificação de user-data para injetar credenciais ou scripts que as coletam | | [[t1098-account-manipulation\|T1098-account-manipulation]] | Account Manipulation | Modificação de IAM role ou políticas de acesso da instância | > **Ver também:** [[ds0030-instance|DS0030 — Instance]], [[dc0075-instance-enumeration]], [[dc0076-instance-creation]], [[t1578-modify-cloud-compute-infrastructure|T1578-modify-cloud-compute-infrastructure]], [[t1190-exploit-public-facing-application|T1190-exploit-public-facing-application]] ## Contexto LATAM > [!warning] Modificação de instâncias em ataques cloud no Brasil > Campanhas direcionadas a organizações brasileiras têm explorado permissões excessivas de IAM para modificar instâncias EC2 de produção, injetando scripts maliciosos via user-data após reinicialização. O setor financeiro brasileiro, supervisionado pelo Banco Central e pela CMN Resolução 4.893/2021, é obrigado a manter controles de mudança para infraestrutura de processamento de dados. Modificações não autorizadas em instâncias que processam dados de pagamento (PCI-DSS) ou dados pessoais ([[LGPD]]) devem ser investigadas como incidentes de segurança. A AWS recomenda o uso de IMDSv2 obrigatório e AWS Config Rules como `ec2-imdsv2-check` para reduzir superfície de ataque via serviço de metadados. ## Referências - [MITRE ATT&CK — DC0073 Instance Modification](https://attack.mitre.org/datacomponents/DC0073) - [MITRE ATT&CK — T1578 Modify Cloud Compute Infrastructure](https://attack.mitre.org/techniques/T1578/) - [AWS — IMDSv2 Transition Guide](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-service.html) - [Azure — VM Extensions Security Considerations](https://learn.microsoft.com/en-us/azure/virtual-machines/extensions/overview) - [GCP — Compute Engine Audit Logs](https://cloud.google.com/compute/docs/audit-logging)