# DET0001 — Detect Access to Cloud Instance Metadata API (IaaS) ## Descrição Esta estratégia detecta acessos à API de metadados de instâncias em ambientes IaaS (Infrastructure as a Service), como AWS IMDSv1/v2 (`169.254.169.254`), GCP e Azure. Atacantes exploram essa API para obter credenciais temporárias de IAM, tokens de serviço e informações de configuração do ambiente — um passo crítico em ataques de escalonamento de privilégios em nuvem. O acesso legítimo à API de metadados é realizado por agentes e serviços internos da instância. Qualquer processo não reconhecido, script ad hoc ou ferramenta de pós-exploração que consulte o endpoint `169.254.169.254` deve ser considerado suspeito e investigado. As fontes de telemetria relevantes incluem logs de processo do host (EDR), logs de rede interna e trilhas de auditoria do cloud provider (AWS CloudTrail, GCP Audit Logs). Correlacionar acesso ao metadata com subsequente uso de credencial em APIs externas é o sinal de alta fidelidade para esta detecção. ## Indicadores de Detecção - Processo inesperado realizando requisição HTTP para `169.254.169.254` ou `fd00:ec2::254` - Consulta ao caminho `/latest/meta-data/iam/security-credentials/` por processo não pertencente a agentes de sistema - Token IMDSv2 sendo solicitado por script shell, Python ou ferramenta de linha de comando interativa - Uso de credencial IAM obtida via metadata em horário ou região incomum - Acesso ao metadata seguido de chamadas para `sts:AssumeRole` ou `iam:ListRoles` ## Técnicas Relacionadas - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] ## Analytics Relacionadas - [[an0001-analytic-0001|AN0001 — Analytic 0001]] --- *Fonte: [MITRE ATT&CK — DET0001](https://attack.mitre.org/detectionstrategies/DET0001)*