# DC0080 — Instance Start ## Descrição **Instance Start** é o componente de dados que captura eventos de iniciação ou ativação de instâncias de máquinas virtuais (VMs) dentro de infraestruturas de nuvem. Este evento ocorre quando uma instância previamente parada ou pausada é reiniciada, retomando suas operações e consumindo recursos computacionais como CPU, memória e rede. A monitoração deste componente é essencial para detectar comportamentos anômalos em ambientes cloud, especialmente o início não autorizado de instâncias em regiões incomuns ou fora do horário operacional normal. Adversários frequentemente iniciam instâncias para minerar criptomoedas, hospedar infraestrutura C2 temporária ou executar operações maliciosas sob contas comprometidas. No contexto de segurança, eventos de Instance Start devem ser correlacionados com a identidade do solicitante, a região de destino, o tipo de instância e a frequência de início. Padrões incomuns — como inicializações em massa, uso de tipos de instância de alto desempenho (GPU), ou atividade em regiões nunca antes utilizadas pela organização — são indicadores de possível comprometimento. ## Telemetria | Plataforma | Fonte de Log | Evento / API Call | |-----------|-------------|-------------------| | AWS | CloudTrail | `StartInstances` (EC2) | | Azure | Activity Logs | `Microsoft.Compute/virtualMachines/start` | | GCP | Cloud Audit Logs | `v1.compute.instances.start` | | AWS | GuardDuty | `UnauthorizedAccess:EC2/TorIPCaller` | | Multi-cloud | SIEM / CSPM | Alertas de anomalia em inicializações | ## Queries de Detecção **AWS CloudTrail — Inicializações em regiões não habituais:** ```sql SELECT eventTime, userIdentity.arn, awsRegion, requestParameters.instancesSet FROM cloudtrail_logs WHERE eventName = 'StartInstances' AND awsRegion NOT IN ('us-east-1', 'sa-east-1') AND eventTime > NOW() - INTERVAL 7 DAY ORDER BY eventTime DESC ``` > Adapte a lista de regiões permitidas conforme a política da organização. ## Técnicas Relacionadas - [[T1578.004-revert-cloud-instance]] — Adversários podem iniciar instâncias previamente interrompidas para reverter snapshots ou recuperar estado - [[t1496-resource-hijacking|T1496-resource-hijacking]] — Inicializações massivas de instâncias GPU indicam possível cryptojacking - [[T1535-unused-unsupported-cloud-regions]] — Inicializações em regiões remotas para evasão de monitoramento ## Contexto LATAM > [!info] Relevância para Brasil e América Latina > Operações de cryptojacking direcionadas a contas AWS e GCP de empresas brasileiras têm explorado credenciais IAM vazadas para iniciar instâncias de alto desempenho em regiões como `us-east-1` e `eu-west-1`. Grupos como **TeamTNT** e afiliados têm histórico de atacar ambientes cloud na região. Monitorar `StartInstances` com alertas para instâncias do tipo `p3`, `g4` (GPU) é prioritário para organizações do setor financeiro e de tecnologia no Brasil. ## Referências - [MITRE ATT&CK — DC0080 Instance Start](https://attack.mitre.org/datacomponents/DC0080) - [AWS CloudTrail — EC2 Events](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference.html) - [Azure Monitor — VM Activity Logs](https://learn.microsoft.com/en-us/azure/virtual-machines/monitor-vm) - [[ds0030-instance|DS0030 — Instance]] - [[_defenses|Hub de Defesas]] - [[_data-sources|Índice de Data Sources]]