det0374-detection-strategy-for-serverless-execution-t1648

# DET0374 — Detection Strategy for Serverless Execution (T1648) ## Descrição Ambientes serverless (AWS Lambda, Azure Functions, Google Cloud Functions) são plataformas de computação onde o código executa em containers efêmeros gerenciados pelo provedor de nuvem, sem infraestrutura de servidor persistente visível ao cliente. Adversários com acesso a credenciais de nuvem comprometidas podem abusar dessas plataformas para executar código malicioso, mover dados, realizar reconhecimento de cloud ou estabelecer persistência de forma difícil de rastrear, já que as funções não possuem estado persistente e os logs devem ser explicitamente configurados para retenção. O abuso de serverless inclui: criar funções Lambda/Azure Functions para hospedar proxies de C2, usar funções existentes legítimas como ponto de execução de código adicional (injeção de código em funções), automatizar reconhecimento de recursos de nuvem (S3 buckets, RDS, secrets), e estabelecer triggers de agendamento (EventBridge/CloudScheduler) para persistência. Grupos como [[g0139-teamtnt|TeamTNT]] e atores focados em cloud comprometimento utilizam serverless para operações persistentes de cryptomining e data exfiltration. A detecção requer monitoramento de CloudTrail (AWS) ou Azure Monitor para criação e modificação de funções, análise de código de funções recém-criadas ou modificadas, alertas sobre invocações anômalas de funções, e correlação de permissões IAM excessivas concedidas a funções. ## Indicadores de Detecção - Criação de nova função Lambda/Azure Function por identidade não-DevOps fora de pipeline CI/CD - Modificação de código de função existente sem ticket de mudança correlacionado - Função com permissões IAM excessivas (ex: `s3:*` ou `iam:*`) criada recentemente - Invocação de função com frequência anormal (ex: picos de execução em horário incomum) - Função com variáveis de ambiente contendo URLs externas ou strings encoded em Base64 - Trigger de agendamento (cron) criado para função recentemente modificada ## Técnicas Relacionadas - [[t1648-serverless-execution|T1648 — Serverless Execution]] - [[t1578-modify-cloud-compute-infrastructure|T1578 — Modify Cloud Compute Infrastructure]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] - [[t1619-cloud-storage-object-discovery|T1619 — Cloud Storage Object Discovery]] ## Analytics Relacionadas - [[an1053-analytic-1053|AN1053 — Analytic 1053]] - [[an1054-analytic-1054|AN1054 — Analytic 1054]] - [[an1055-analytic-1055|AN1055 — Analytic 1055]] --- *Fonte: [MITRE ATT&CK — DET0374](https://attack.mitre.org/detectionstrategies/DET0374)*