# DC0086 — Instance Metadata ## Descrição **Instance Metadata** abrange dados contextuais sobre uma instância de computação em nuvem, incluindo informações como nome, tipo, estado operacional, região, tags, configuração de rede, e credenciais temporárias de IAM acessíveis via endpoint de metadados interno. Este componente é particularmente sensível do ponto de vista de segurança porque o **Instance Metadata Service (IMDS)** — presente em AWS, Azure e GCP — expõe credenciais de acesso temporário que podem ser abusadas por adversários com acesso inicial à instância. Um atacante que compromete uma instância EC2, por exemplo, pode consultar `http://169.254.169.254/latest/meta-data/iam/security-credentials/` para obter chaves de acesso com os privilégios do papel IAM associado. A detecção de consultas anômalas ao endpoint de metadados, especialmente de processos não esperados ou em horários incomuns, é uma das formas mais eficazes de identificar comprometimento interno e movimento lateral em ambientes cloud. A implementação do IMDSv2 (que requer tokens de sessão) mitiga parcialmente este risco, mas não elimina completamente a ameaça se o processo comprometido já possui um token válido. ## Telemetria | Plataforma | Fonte de Log | Evento / Mecanismo | |-----------|-------------|-------------------| | AWS | VPC Flow Logs | Acesso a `169.254.169.254` | | AWS | CloudTrail | `DescribeInstances`, `GetInstanceMetadata` | | Azure | Azure Monitor | Acesso ao IMDS `169.254.169.254` | | GCP | Cloud Audit Logs | `compute.instances.get` | | Multi-cloud | EDR / Host | Processos consultando endpoint de metadados | ## Queries de Detecção **AWS VPC Flow Logs — Processos acessando IMDS de forma anômala:** ```sql SELECT srcaddr, dstaddr, srcport, dstport, start, action FROM vpc_flow_logs WHERE dstaddr = '169.254.169.254' AND dstport = 80 AND start > NOW() - INTERVAL 24 HOUR ORDER BY start DESC ``` > Correlacione com logs de processo (EDR) para identificar qual aplicação está consultando o IMDS. ## Técnicas Relacionadas - [[T1552.005-cloud-instance-metadata-api]] — Abuso direto do IMDS para roubo de credenciais temporárias - [[t1578-modify-cloud-compute-infrastructure|T1578-modify-cloud-compute-infrastructure]] — Modificação de metadados para alterar comportamento da instância - [[t1069-permission-groups-discovery|T1069-permission-groups-discovery]] — Uso de metadados para descoberta de permissões IAM associadas ## Contexto LATAM > [!danger] Relevância para Brasil e América Latina > O abuso do Instance Metadata Service é um dos vetores mais explorados em campanhas de comprometimento cloud contra empresas brasileiras. Incidentes documentados em 2024-2025 mostram que grupos como **Scattered Spider** e afiliados de ransomware utilizaram acesso SSRF em aplicações web para consultar o IMDS e obter credenciais IAM de empresas do setor financeiro e de e-commerce no Brasil. A habilitação obrigatória do **IMDSv2** e restrição de acesso ao endpoint via firewall de host são controles prioritários. ## Referências - [MITRE ATT&CK — DC0086 Instance Metadata](https://attack.mitre.org/datacomponents/DC0086) - [AWS — Instance Metadata Service](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html) - [AWS — IMDSv2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-service.html) - [[T1552.005-cloud-instance-metadata-api]] - [[ds0030-instance|DS0030 — Instance]] - [[_defenses|Hub de Defesas]]