# DET0334 — Detection Strategy for T1525 – Implant Internal Image ## Descrição Esta estratégia detecta a implantação de código malicioso em imagens de container ou máquinas virtuais internas — modificando imagens base legítimas usadas para provisionar workloads em ambientes de nuvem e orquestração de containers (Docker, Kubernetes, AMI da AWS). A técnica [[t1525-implant-internal-image|T1525-implant-internal-image]] permite persistência persistente em cada novo container ou instância criada a partir da imagem comprometida. A detecção foca em modificações não autorizadas de imagens base, push de novas imagens por usuários sem privilégios de CI/CD, e discrepâncias entre checksums de imagens em produção e os registros de build. Registros de container (ECR, ACR, GCR, Docker Hub privado) devem registrar todos os eventos de push com autoria e timestamp. Esta técnica é de alta severidade em ambientes DevOps pois uma única imagem comprometida pode resultar em centenas de containers maliciosos. Integração de verificação de assinatura de imagem (Cosign, Notary) e análise estática de imagens no pipeline CI/CD é fundamental. ## Indicadores de Detecção - Push de imagem de container por usuários fora do pipeline CI/CD aprovado - Discrepância entre hash de imagem em produção e hash registrado no sistema de build - Novas layers adicionadas a imagens base sem correspondência a commits no repositório de código - Processos de container executando binários não presentes no Dockerfile original - Imagens base de registro privado com data de modificação mais recente que o último build legítimo - Criação de novas tags de imagem por service accounts sem histórico de públicação ## Técnicas Relacionadas - [[t1525-implant-internal-image|T1525-implant-internal-image]] — técnica primária - [[t1195-supply-chain-compromise|T1195-supply-chain-compromise]] — comprometimento de cadeia de suprimentos via imagens - [[t1610-deploy-container|T1610-deploy-container]] — deploy de container malicioso a partir de imagem comprometida - [[t1612-build-image-on-host|T1612-build-image-on-host]] — construção de imagem maliciosa no host comprometido - [[T1078.004-cloud-accounts]] — uso de credenciais cloud para push de imagem maliciosa ## Analytics Relacionadas - [[an0946-analytic-0946|AN0946 — Analytic 0946]] - [[an0947-analytic-0947|AN0947 — Analytic 0947]] --- *Fonte: [MITRE ATT&CK — DET0334](https://attack.mitre.org/detectionstrategies/DET0334)*