det0337-detection-strategy-for-modify-cloud-compute-infrastructure-revert-cloud-

# DET0337 — Detection Strategy for Modify Cloud Compute Infrastructure: Revert Cloud Instance ## Descrição Esta estratégia detecta o uso de operações de reversão de instâncias cloud (revert/snapshot restore) para apagar evidências de comprometimento ou reverter correções de segurança aplicadas pela equipe de resposta a incidentes. A técnica [[T1578.004-revert-cloud-instance]] permite que adversários com acesso ao plano de controle cloud (control plane) desfaçam ações defensivas simplesmente restaurando um snapshot anterior ao incidente. A detecção foca em operações de restore/revert no plano de controle — `ec2:CreateImage`, `ec2:RestoreSnapshotTier`, `Compute.disks.restore`, `Microsoft.Compute/virtualMachines/restore` — especialmente quando executadas por identidades não associadas ao processo normal de backup, fora de janelas de manutenção, ou em sequência a eventos de segurança. O cenário mais crítico é quando o adversário, após detecção e remediação parcial, reverte a instância para um estado anterior ao patch, mantendo o acesso inicial. O monitoramento de CloudTrail (AWS), Activity Log (Azure) e Cloud Audit Logs (GCP) é indispensável. ## Indicadores de Detecção - Operação de revert/restore de snapshot por identidade não pertencente ao time de backup - Restore de instância cloud em sequência a alterações de segurança (rotação de credenciais, patch) - `ec2:RestoreSnapshotTier` ou `CreateImage` seguido de `RunInstances` com snapshot anterior - Revert de instância fora de janela de manutenção agendada - Múltiplas operações de restore em curto intervalo por uma única identidade - Restore de snapshot com data anterior à implementação de patch crítico ## Técnicas Relacionadas - [[T1578.004-revert-cloud-instance]] — técnica primária - [[t1578-modify-cloud-compute-infrastructure|T1578-modify-cloud-compute-infrastructure]] — categoria pai - [[t1562-impair-defenses|T1562-impair-defenses]] — anulação de defesas via reversão de estado - [[t1070-indicator-removal|T1070-indicator-removal]] — remoção de evidências de comprometimento - [[T1078.004-cloud-accounts]] — credenciais cloud usadas para acesso ao plano de controle ## Analytics Relacionadas - [[an0953-analytic-0953|AN0953 — Analytic 0953]] --- *Fonte: [MITRE ATT&CK — DET0337](https://attack.mitre.org/detectionstrategies/DET0337)*