# DC0097 — Volume Creation ## Descrição **Volume Creation** registra o provisionamento inicial de volumes de armazenamento em bloco em ambientes de nuvem ou on-premises. Este componente abrange criação de volumes EBS na AWS, discos gerenciados no Azure, e persistent disks no GCP, tipicamente utilizados para armazenamento de dados, backup ou escalabilidade de cargas de trabalho. Do ponto de vista de segurança, a criação não autorizada de volumes pode indicar preparação para armazenar dados exfiltrados, criação de volumes a partir de snapshots comprometidos (restauração de dados roubados), ou expansão de infraestrutura maliciosa no ambiente da vítima. Em ataques sofisticados, adversários criam volumes temporários para extrair dados de outras fontes, processam localmente e então transferem para infraestrutura controlada por eles. Volumes criados a partir de snapshots de outras contas são especialmente suspeitos e podem indicar abuso de permissões de snapshot compartilhadas. A detecção deve considerar não apenas o evento de criação, mas também o atributo `snapshotId` — se presente — e a conta de origem do snapshot. ## Telemetria | Plataforma | Fonte de Log | Evento / API Call | |-----------|-------------|-------------------| | AWS | CloudTrail | `CreateVolume` (EC2) | | Azure | Activity Logs | `Microsoft.Compute/disks/write` (criação) | | GCP | Cloud Audit Logs | `v1.compute.disks.insert` | | AWS | Config | Novo recurso do tipo `AWS::EC2::Volume` | | Multi-cloud | CSPM | Alertas de criação em regiões não utilizadas | ## Queries de Detecção **AWS CloudTrail — Volumes criados a partir de snapshots externos:** ```sql SELECT eventTime, userIdentity.arn, awsRegion, requestParameters.snapshotId, requestParameters.size, requestParameters.volumeType, requestParameters.encrypted FROM cloudtrail_logs WHERE eventName = 'CreateVolume' AND requestParameters.snapshotId IS NOT NULL AND requestParameters.encrypted = false ORDER BY eventTime DESC ``` > Volumes não criptografados criados a partir de snapshots externos merecem investigação imediata. ## Técnicas Relacionadas - [[t1578-modify-cloud-compute-infrastructure|T1578-modify-cloud-compute-infrastructure]] — Criação de volumes como parte de modificação de infraestrutura cloud - [[t1537-transfer-data-to-cloud-account|T1537-transfer-data-to-cloud-account]] — Criação de volumes para transferência de dados para contas controladas pelo adversário - [[t1496-resource-hijacking|T1496-resource-hijacking]] — Criação de volumes de grande capacidade para minerar ou processar dados de forma maliciosa ## Contexto LATAM > [!info] Relevância para Brasil e América Latina > A técnica de criar volumes a partir de snapshots compartilhados é um vetor de exfiltração subestimado em ambientes AWS de empresas brasileiras. Dados sensíveis — incluindo informações sujeitas à LGPD — podem ser copiados via snapshot sem acionar alertas de transferência de dados volumosa. Políticas de Service Control Policy (SCP) que bloqueiem compartilhamento de snapshots com contas externas são uma mitigação eficaz disponível no AWS Organizations, relevante para holdings e grupos financeiros com múltiplas contas. ## Referências - [MITRE ATT&CK — DC0097 Volume Creation](https://attack.mitre.org/datacomponents/DC0097) - [AWS — CreateVolume API](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVolume.html) - [AWS — EBS Encryption](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html) - [[ds0034-volume|DS0034 — Volume]] - [[t1537-transfer-data-to-cloud-account|T1537-transfer-data-to-cloud-account]] - [[_defenses|Hub de Defesas]]