# DC0075 — Instance Enumeration ## Descrição Instance Enumeration corresponde ao processo de recuperação ou consulta de uma lista de instâncias de máquinas virtuais ou instâncias de computação dentro de uma infraestrutura cloud. Essa atividade fornece ao adversário uma visão completa de todas as instâncias disponíveis ou em execução, tipicamente incluindo metadados como ID de instância, nome, estado, tipo, região, AMI utilizada, tags e configuração de rede. Após comprometer credenciais de cloud (via phishing, SSRF contra o serviço de metadados, ou exfiltração de chaves hardcoded), adversários realizam enumeração de instâncias como etapa fundamental de reconhecimento. A listagem completa de instâncias permite identificar alvos de alto valor (servidores de banco de dados, instâncias de aplicação críticas), mapear a topologia de rede interna, descobrir instâncias com IAM roles privilegiados, e planejar movimentação lateral. A enumeração é capturada via `DescribeInstances` no AWS CloudTrail, `Microsoft.Compute/virtualMachines/read` no Azure Activity Log e `instance.list` nos GCP Audit Logs. Enumeração realizada por identidades externas, em horários atípicos ou abrangendo múltiplas regiões simultaneamente são sinais de reconhecimento adversarial. ## Telemetria | Plataforma | Fonte de Log | Evento / API Call | Notas | |------------|-------------|-------------------|-------| | AWS | CloudTrail (armazenado em S3 / CloudWatch) | `DescribeInstances`, `DescribeInstanceStatus`, `DescribeInstanceAttribute` | Verificar `requestParameters.filterSet` para filtros aplicados | | Azure | Azure Monitor / Activity Log | `Microsoft.Compute/virtualMachines/read` | Correlacionar com outras operações de leitura no mesmo período | | GCP | Cloud Logging / BigQuery | `instances.list`, `instances.aggregatedList` | `protoPayload.authorizationInfo[].resource` indica escopo | | AWS | CloudTrail | `DescribeInstanceTypes`, `DescribeRegions` | Enumeração de capacidade e regiões — sinal de reconhecimento inicial | ## Queries de Detecção ### KQL — Azure: enumeração de VMs em múltiplos resource groups por mesmo caller ```kql AzureActivity | where OperationNameValue == "microsoft.compute/virtualmachines/read" | summarize VMCount = dcount(Resource), ResourceGroups = dcount(ResourceGroup), FirstSeen = min(TimeGenerated), LastSeen = max(TimeGenerated) by Caller, CallerIpAddress | where VMCount > 20 or ResourceGroups > 5 | project FirstSeen, LastSeen, Caller, CallerIpAddress, VMCount, ResourceGroups | order by VMCount desc ``` ## Técnicas Relacionadas | Técnica | Nome | Relação | |---------|------|---------| | [[t1580-cloud-infrastructure-discovery\|T1580-cloud-infrastructure-discovery]] | Cloud Infrastructure Discovery | Técnica primária — `DescribeInstances` é o vetor mais comum de T1580 | | [[t1526-cloud-service-discovery\|T1526-cloud-service-discovery]] | Cloud Service Discovery | Enumeração de instâncias como parte do reconhecimento de serviços cloud | | [[t1069-permission-groups-discovery\|T1069-permission-groups-discovery]] | Permission Groups Discovery | Identificação de instâncias com IAM roles privilegiados | > **Ver também:** [[ds0030-instance|DS0030 — Instance]], [[dc0073-instance-modification]], [[dc0076-instance-creation]], [[dc0047-snapshot-enumeration]], [[t1580-cloud-infrastructure-discovery|T1580-cloud-infrastructure-discovery]] ## Contexto LATAM > [!info] Reconhecimento cloud em ataques ao Brasil > Grupos de ameaça com foco financeiro que operam na América Latina, incluindo atores de origem brasileira e grupos internacionais como [[g1015-scattered-spider|Scattered Spider]], realizam enumeração sistemática de instâncias EC2 e VMs Azure como parte de campanhas de acesso inicial. No Brasil, empresas de fintech e bancos digitais que operam extensivamente em AWS são alvos frequentes. A enumeração de instâncias em múltiplas regiões (especialmente `us-east-1` e `sa-east-1`) em sequência rápida é um comportamento atípico que deve acionar alertas de SOC. O AWS GuardDuty detecta automaticamente enumeração anômala via findings do tipo `Recon:IAMUser/UserPermissions` e `Discovery:IAMUser/NetworkPermissions`. ## Referências - [MITRE ATT&CK — DC0075 Instance Enumeration](https://attack.mitre.org/datacomponents/DC0075) - [MITRE ATT&CK — T1580 Cloud Infrastructure Discovery](https://attack.mitre.org/techniques/T1580/) - [AWS CloudTrail — DescribeInstances API](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeInstances.html) - [AWS GuardDuty — IAMUser Finding Types](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html) - [Azure Monitor — VM Activity Logs](https://learn.microsoft.com/en-us/azure/virtual-machines/monitor-vm-reference)