# DC0095 — Volume Enumeration ## Descrição **Volume Enumeration** captura a extração de listas de volumes disponíveis dentro de um ambiente de nuvem. Esta atividade tipicamente ocorre durante a fase de descoberta de um ataque, quando o adversário busca mapear o armazenamento disponível para identificar dados de interesse, volumes não criptografados, ou alvos para exfiltração e destruição. Em AWS, o comando `describe-volumes` e sua API equivalente são os principais indicadores desta atividade. Adversários que comprometem credenciais IAM frequentemente executam enumeração de volumes como parte de uma sequência de reconhecimento mais ampla — junto com listagem de buckets S3, grupos de segurança, funções Lambda e outros recursos — para construir um inventário completo do ambiente antes de executar ações de maior impacto. A detecção de enumeração massiva de recursos em sequência rápida, executada por uma identidade que normalmente não realiza tais operações, é um indicador forte de comprometimento de credenciais. Ferramentas de ataque como **CloudFox**, **ScoutSuite** e **Prowler** — amplamente usadas tanto por pentesters quanto por adversários — geram padrões característicos de enumeração detectáveis via análise de CloudTrail. ## Telemetria | Plataforma | Fonte de Log | Evento / API Call | |-----------|-------------|-------------------| | AWS | CloudTrail | `DescribeVolumes`, `DescribeVolumeStatus` | | Azure | Activity Logs | `Microsoft.Compute/disks/read` | | GCP | Cloud Audit Logs | `v1.compute.disks.list`, `v1.compute.disks.aggregatedList` | | AWS | GuardDuty | `Discovery:IAMUser/AnomalousBehavior` | | Multi-cloud | CSPM | Detecção de padrões de enumeração | ## Queries de Detecção **AWS CloudTrail — Enumeração de volumes por identidade não habitual:** ```sql SELECT eventTime, userIdentity.arn, awsRegion, sourceIPAddress, COUNT(*) as enum_calls FROM cloudtrail_logs WHERE eventName IN ('DescribeVolumes', 'DescribeVolumeStatus', 'DescribeSnapshots') AND eventTime > NOW() - INTERVAL 1 HOUR GROUP BY userIdentity.arn, awsRegion, sourceIPAddress HAVING enum_calls > 10 ORDER BY enum_calls DESC ``` > Alta frequência de chamadas de descoberta pela mesma identidade indica reconhecimento automatizado. ## Técnicas Relacionadas - [[t1580-cloud-infrastructure-discovery|T1580-cloud-infrastructure-discovery]] — Enumeração de volumes como parte de descoberta ampla de infraestrutura cloud - [[t1619-cloud-storage-object-discovery|T1619-cloud-storage-object-discovery]] — Descoberta de armazenamento em bloco e objetos em nuvem - [[t1526-cloud-service-discovery|T1526-cloud-service-discovery]] — Mapeamento de serviços disponíveis incluindo recursos de armazenamento ## Contexto LATAM > [!info] Relevância para Brasil e América Latina > Campanhas de comprometimento de contas AWS via credential stuffing e phishing de tokens MFA têm sido observadas contra empresas brasileiras. Após obter acesso, os atacantes executam scripts automatizados de enumeração — incluindo `describe-volumes` — para identificar dados de alto valor antes de decidir entre exfiltração ou ransomware. O GuardDuty com a finding `Discovery:IAMUser/AnomalousBehavior` cobre parte desta detecção, mas requer habilitação explícita na conta AWS. ## Referências - [MITRE ATT&CK — DC0095 Volume Enumeration](https://attack.mitre.org/datacomponents/DC0095) - [AWS CloudTrail — EC2 DescribeVolumes](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVolumes.html) - [AWS GuardDuty — Discovery Findings](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html) - [[ds0034-volume|DS0034 — Volume]] - [[t1580-cloud-infrastructure-discovery|T1580-cloud-infrastructure-discovery]] - [[_defenses|Hub de Defesas]]