# DC0092 — Volume Modification ## Descrição **Volume Modification** registra alterações realizadas em volumes de armazenamento em bloco dentro de ambientes de nuvem, incluindo modificações em configurações, permissões de acesso, tipo de volume, capacidade e dados de controle associados. Em AWS, o evento `ModifyVolume` é o principal indicador desta atividade; plataformas equivalentes possuem APIs similares. Este componente é relevante para detecção porque modificações não autorizadas em volumes podem indicar tentativas de exfiltração de dados através de snapshots compartilhados, alteração de permissões para acesso por terceiros, redimensionamento para acomodar carga maliciosa, ou modificação de configurações de criptografia para remover proteções existentes. A remoção da criptografia de um volume ou a mudança de chave KMS são mudanças de altíssimo risco. A correlação entre eventos de Volume Modification e criação subsequente de snapshots é um padrão particularmente suspeito: adversários com acesso a chaves de nuvem frequentemente copiam dados criando snapshot de volumes e depois compartilhando-o com contas externas controladas por eles, evitando transferências de dados volumosas que ativariam alertas de egress. ## Telemetria | Plataforma | Fonte de Log | Evento / API Call | |-----------|-------------|-------------------| | AWS | CloudTrail | `ModifyVolume`, `ModifyVolumeAttribute` | | Azure | Activity Logs | `Microsoft.Compute/disks/write` | | GCP | Cloud Audit Logs | `v1.compute.disks.updaté` | | AWS | Config | Mudanças de estado em recursos EBS | | Multi-cloud | CSPM | Desvio de configuração em volumes | ## Queries de Detecção **AWS CloudTrail — Modificação de tipo de criptografia em volume:** ```sql SELECT eventTime, userIdentity.arn, awsRegion, requestParameters.volumeId, requestParameters.encrypted, requestParameters.kmsKeyId FROM cloudtrail_logs WHERE eventName IN ('ModifyVolume', 'ModifyVolumeAttribute') AND requestParameters.encrypted IS NOT NULL ORDER BY eventTime DESC ``` > Alertas para mudanças que desativem criptografia (`encrypted: false`) são prioridade máxima. ## Técnicas Relacionadas - [[t1578-modify-cloud-compute-infrastructure|T1578-modify-cloud-compute-infrastructure]] — Modificação direta de infraestrutura cloud incluindo volumes de armazenamento - [[t1565-data-manipulation|T1565-data-manipulation]] — Alteração de dados em volumes para corromper ou manipular informações - [[t1036-masquerading|T1036-masquerading]] — Modificação de atributos de volume para disfarçar volumes maliciosos como legítimos ## Contexto LATAM > [!warning] Relevância para Brasil e América Latina > Incidentes de exfiltração via compartilhamento de snapshots EBS foram documentados em empresas do setor de saúde e financeiro no Brasil. A técnica — conhecida como "EBS snapshot exfiltration" — envolve modificar permissões do volume, criar um snapshot e compartilhá-lo com uma conta AWS do atacante, sem gerar alertas de transferência de dados. Ferramentas como **Pacu** (framework de pentest AWS) implementam este vetor. O monitoramento de `ModifySnapshotAttribute` em conjunto com `ModifyVolume` é a detecção mais eficaz. ## Referências - [MITRE ATT&CK — DC0092 Volume Modification](https://attack.mitre.org/datacomponents/DC0092) - [AWS — ModifyVolume API](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVolume.html) - [Rhino Security Labs — EBS Snapshot Exfiltration](https://rhinosecuritylabs.com/aws/s3-ransomware-part-1-attack-vector/) - [[ds0034-volume|DS0034 — Volume]] - [[t1578-modify-cloud-compute-infrastructure|T1578-modify-cloud-compute-infrastructure]] - [[_defenses|Hub de Defesas]]