# DC0076 — Instance Creation ## Descrição Instance Creation captura o provisionamento inicial e a construção de uma máquina virtual (VM) ou instância de computação dentro de um ambiente de infraestrutura cloud. Essa atividade envolve a definição e alocação de recursos como CPU, memória, armazenamento e rede para inicializar uma nova instância de computação. Em AWS, corresponde a chamadas `RunInstances`; em Azure, à criação de VM via Azure Resource Manager (ARM); em GCP, a operações `instance.insert`. A criação não autorizada de instâncias é um dos indicadores mais claros de comprometimento de credenciais cloud. Adversários criam instâncias para: (1) mineração de criptomoedas usando recursos da vítima (cryptojacking/resource hijacking); (2) estabelecer infraestrutura de C2 temporária dentro da VPC da vítima para movimentação lateral; (3) criar pontos de pivô para acessar recursos internos inacessíveis pela internet; ou (4) exfiltrar dados por meio de instâncias temporárias antes de destruí-las para apagar rastros. Alertas de criação de instâncias devem considerar tipo de instância (tipos GPU são fortemente associados a cryptomining), região (regiões incomuns para a organização), AMI utilizada (AMIs de terceiros não aprovadas), e horário (criações fora de horário comercial ou pipelines CI/CD). ## Telemetria | Plataforma | Fonte de Log | Evento / API Call | Notas | |------------|-------------|-------------------|-------| | AWS | CloudTrail | `RunInstances` | Verificar `requestParameters.instanceType` (p3, g4 = GPU = mining risk) | | Azure | Activity Log | `Microsoft.Compute/virtualMachines/write` com `Create` operation | `resourceId` inclui subscription e resource group | | GCP | Cloud Logging | `compute.instances.insert` | `protoPayload.request.machineType` indica o tipo de instância | | AWS | CloudTrail | `RequestSpotInstances`, `CreateLaunchTemplaté` | Variantes de criação via Spot e Launch Templates | ## Queries de Detecção ### KQL — Azure: criação de VM de alta capacidade fora do horário comercial ```kql AzureActivity | where OperationNameValue == "microsoft.compute/virtualmachines/write" | where ActivityStatusValue == "Success" | extend Hour = datetime_part("hour", TimeGenerated) | extend VMSize = tostring(parse_json(Properties).vmSize) | where Hour < 7 or Hour > 19 | where VMSize contains "Standard_N" // GPU instances or VMSize contains "Standard_H" // HPC instances | project TimeGenerated, Caller, CallerIpAddress, Resource, VMSize, ResourceGroup | order by TimeGenerated desc ``` ## Técnicas Relacionadas | Técnica | Nome | Relação | |---------|------|---------| | [[t1578-modify-cloud-compute-infrastructure\|T1578-modify-cloud-compute-infrastructure]] | Modify Cloud Compute Infrastructure | Técnica primária — criação de instância como subtécnica T1578.002 | | [[t1496-resource-hijacking\|T1496-resource-hijacking]] | Resource Hijacking | Criação de instâncias GPU para mineração de criptomoedas | | [[t1537-transfer-data-to-cloud-account\|T1537-transfer-data-to-cloud-account]] | Transfer Data to Cloud Account | Criação de instância temporária para exfiltração de dados | > **Ver também:** [[ds0030-instance|DS0030 — Instance]], [[dc0075-instance-enumeration]], [[dc0073-instance-modification]], [[dc0076-instance-creation]], [[t1496-resource-hijacking|T1496-resource-hijacking]] ## Contexto LATAM > [!warning] Cryptojacking cloud e custos para empresas brasileiras > Incidentes de criação não autorizada de instâncias GPU para mineração de criptomoedas têm gerado prejuízos significativos a empresas brasileiras, com casos documentados de contas AWS com débitos superiores a USD 100.000 em poucos dias. Grupos de cryptojacking como TeamTNT e 8220 Gang têm operado ativamente na América Latina. Além do impacto financeiro direto, a criação não autorizada de instâncias em contas que processam dados pessoais pode configurar violação da [[LGPD]] se os recursos forem usados para processar ou exfiltrar tais dados. Organizações brasileiras devem implementar AWS Budgets com alertas de gasto anômalo, Service Control Policies restringindo tipos de instância permitidos, e AWS GuardDuty para findings de `CryptoCurrency:EC2/BitcoinTool.B` e `Backdoor:EC2/C&CActivity.B`. ## Referências - [MITRE ATT&CK — DC0076 Instance Creation](https://attack.mitre.org/datacomponents/DC0076) - [MITRE ATT&CK — T1578 Modify Cloud Compute Infrastructure](https://attack.mitre.org/techniques/T1578/) - [MITRE ATT&CK — T1496 Resource Hijacking](https://attack.mitre.org/techniques/T1496/) - [AWS GuardDuty — EC2 Finding Types](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html) - [AWS — RunInstances API Reference](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_RunInstances.html)