det0423-detection-strategy-for-modify-cloud-compute-infrastructure-create-snapsh

# DET0423 — Detection Strategy for Modify Cloud Compute Infrastructure: Create Snapshot ## Descrição Adversários com acesso a ambientes de nuvem IaaS (AWS, Azure, GCP) criam snapshots de volumes de disco de instâncias de produção como mecanismo de exfiltração de dados ou reconhecimento. Um snapshot captura o estado completo de um volume — incluindo o sistema operacional, configurações, segredos armazenados e dados de aplicação — e pode ser copiado para outra conta AWS (compartilhamento de snapshot) controlada pelo atacante, ou convertido em uma nova instância para análise offline. Essa técnica é particularmente perigosa porque não requer acesso direto aos dados no volume em execução: um atacante com permissão `ec2:CreateSnapshot` e `ec2:ModifySnapshotAttribute` pode exfiltrar terabytes de dados sem deixar rastros nos logs do sistema operacional da vítima. O processo ocorre inteiramente na camada de controle do provedor de nuvem, registrado apenas em logs de CloudTrail. Casos reais documentados incluem ataques a instâncias de banco de dados RDS e volumes EBS de empresas financeiras. A detecção exige monitoramento rigoroso do CloudTrail para operações de snapshot, especialmente `CreateSnapshot`, `ModifySnapshotAttribute` (que permite compartilhamento externo) e `CopySnapshot` para outras regiões ou contas, realizadas por IAM roles ou usuários fora do fluxo aprovado de backup. ## Indicadores de Detecção - `CreateSnapshot` chamado por um principal IAM que não faz parte do processo de backup aprovado - `ModifySnapshotAttribute` com `Add` de uma conta AWS externa ao perímetro organizacional - `CopySnapshot` para uma região diferente da região primária sem ticket de mudança aprovado - Criação de múltiplos snapshots em curto intervalo por mesmo principal IAM (varredura de volumes) - `DescribeSnapshots` com filtro `owner-id` externo seguido de operações de cópia ## Técnicas Relacionadas - [[T1578001-create-snapshot|T1578.001 — Create Snapshot]] - [[t1578-modify-cloud-compute-infrastructure|T1578 — Modify Cloud Compute Infrastructure]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] - [[t1619-cloud-storage-object-discovery|T1619 — Cloud Storage Object Discovery]] - [[t1580-cloud-infrastructure-discovery|T1580 — Cloud Infrastructure Discovery]] ## Analytics Relacionadas - [[an1187-analytic-1187|AN1187 — Analytic 1187]] --- *Fonte: [MITRE ATT&CK — DET0423](https://attack.mitre.org/detectionstrategies/DET0423)*