det0308-detection-strategy-for-modify-cloud-compute-infrastructure

# DET0308 — Detection Strategy for Modify Cloud Compute Infrastructure ## Descrição Esta estratégia detecta modificações não autorizadas em infraestrutura de computação cloud — instâncias de VM, containers, funções serverless e configurações de orquestração — usadas por adversários para estabelecer persistência, criar recursos para mineração de criptomoeda, ou modificar configurações de instâncias existentes para facilitar acesso subsequente. A criação de instâncias spot ou reservadas em regiões incomuns para cryptojacking é um dos vetores mais frequentes. Os indicadores incluem criação de instâncias EC2/GCE/Azure VM de tipos de alta performance (GPU, C5n) em regiões não usuais, modificação de user-data/cloud-init de instâncias existentes para incluir scripts de inicialização maliciosos, adição de chaves SSH a instâncias em execução, e alteração de configurações de security groups para permitir acesso remoto irrestrito. CloudTrail `RunInstances`, `ModifyInstanceAttribute` e `AuthorizeSecurityGroupIngress` são os eventos críticos. Campanhas de cryptomining como as atribuídas ao grupo [[g0139-teamtnt|TeamTNT]] frequentemente começam por comprometer credenciais cloud via arquivos `.env` expostos e imediatamente criam dezenas de instâncias GPU para mineração. O impacto financeiro pode ser de dezenas de milhares de dólares em horas se não detectado rapidamente. ## Indicadores de Detecção - `RunInstances` de tipo de instância GPU ou high-CPU em região não operacional da organização - `ModifyInstanceAttribute` adicionando user-data a instância em execução (backdoor via cloud-init) - Criação de mais de N instâncias em < 1 hora por identidade que normalmente não cria recursos - `AuthorizeSecurityGroupIngress` abrindo porta 22/3389 para `0.0.0.0/0` em instância de produção - Adição de chave SSH pública a `~/.ssh/authorized_keys` via API de metadados da instância - Novo container registrado em cluster Kubernetes com imagem de fonte não aprovada ## Técnicas Relacionadas - [[t1578-modify-cloud-compute-infrastructure|T1578 — Modify Cloud Compute Infrastructure]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1496-resource-hijacking|T1496 — Resource Hijacking]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] ## Analytics Relacionadas - [[an0861-analytic-0861|AN0861 — Analytic 0861]] --- *Fonte: [MITRE ATT&CK — DET0308](https://attack.mitre.org/detectionstrategies/DET0308)*