det0199-detection-strategy-for-virtual-machine-discovery

# DET0199 — Detection Strategy for Virtual Machine Discovery ## Descrição Esta estratégia detecta tentativas de descoberta de máquinas virtuais no ambiente — mapeada para [[T1120 — Peripheral Device Discovery]] e [[T1018 — Remote System Discovery]] em contextos de virtualização. Adversários enumeram VMs em hypervisors, plataformas de cloud e ambientes VMware/Hyper-V para identificar alvos de alto valor (servidores críticos, backups, domain controllers), planejar movimento lateral, ou detectar se estão em sandbox e ajustar comportamento. A detecção abrange quatro cenários: enumeração de VMs em cloud (AWS EC2 `describe-instances`, Azure `az vm list`, GCP `gcloud compute instances list`), enumeação via vSphere/ESXi APIs, detecção de ambiente de análise (sandbox fingerprinting via CPUID, RDTSC, presença de ferramentas de análise), e enumeração de VMs locais via Hyper-V PowerShell ou VBoxManage. Quatro analytics cobrem: chamadas à API de cloud para listar instâncias computacionais, acesso à API vCenter/ESXi por usuários não-administrativos, execução de `VBoxManage list runningvms` ou equivalentes, e técnicas de sandbox detection (leitura de registros de VMware, verificação de MAC address de VM). ## Indicadores de Detecção - `aws ec2 describe-instances --region us-east-1` por processo não-padrão ou usuário de aplicação - `az vm list` ou `Get-AzVM` executados fora de fluxo de automação/CI/CD - Acesso à API vCenter (`/sdk/vimService`) por usuário não-administrador de infraestrutura - `VBoxManage list runningvms` ou `VBoxManage list vms` por processo suspeito - Leitura de chaves de registro `HKLM\SOFTWARE\VMware, Inc.\VMware Tools` por processo não-VMware - CPUID com leaf 0x40000000 buscando hipervisor signature string (`VMwareVMware`, `KVMKVMKVM`) - `Get-VM` (Hyper-V) executado por conta não-administrativa em servidor de virtualização ## Técnicas Relacionadas - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1018-remote-system-discovery|T1018 — Remote System Discovery]] - [[t1497-virtualizationsandbox-evasion|T1497 — Virtualization/Sandbox Evasion]] - [[t1120-peripheral-device-discovery|T1120 — Peripheral Device Discovery]] ## Analytics Relacionadas - [[an0572-analytic-0572|AN0572 — Analytic 0572]] - [[an0573-analytic-0573|AN0573 — Analytic 0573]] - [[an0574-analytic-0574|AN0574 — Analytic 0574]] - [[an0575-analytic-0575|AN0575 — Analytic 0575]] --- *Fonte: [MITRE ATT&CK — DET0199](https://attack.mitre.org/detectionstrategies/DET0199)*