det0449-detection-strategy-for-modify-cloud-compute-infrastructure-create-cloud-

# DET0449 — Detection Strategy for Modify Cloud Compute Infrastructure: Create Cloud Instance ## Descrição Adversários com acesso a credenciais de nuvem válidas podem criar novas instâncias de computação em ambientes como AWS, Azure e GCP para estabelecer infraestrutura de C2, minerar criptomoedas, ou lançar ataques subsequentes a partir de recursos cloud da própria vítima. A criação de instâncias não autorizadas representa um risco financeiro imediato (custos de computação) e um vetor de persistência difícil de detectar sem monitoramento adequado de logs de API cloud. Essa técnica é frequentemente utilizada após o comprometimento de chaves de acesso AWS (IAM keys), tokens de serviço Azure ou credenciais GCP — sejá por roubo de repositório, exposição em código-fonte, phishing ou comprometimento de CI/CD. Grupos como [[g0096-apt41|APT41]] e operadores de cryptomining como TeamTNT são conhecidos por explorar ambientes cloud para criação massiva de instâncias de mineração. A detecção depende de monitoramento de APIs cloud (CloudTrail no AWS, Activity Logs no Azure, Cloud Audit Logs no GCP): identificar chamadas `RunInstances`, `CreateVM` ou `instances.insert` fora de padrões estabelecidos, em regiões não utilizadas, com tipos de instância incomuns (otimizadas para GPU/computação) ou por identidades recém-criadas ou raramente utilizadas. ## Indicadores de Detecção - Chamada `ec2:RunInstances` (AWS) ou `Microsoft.Compute/virtualMachines/write` (Azure) por identidade IAM/service principal nunca utilizada anteriormente - Criação de instância em região geográfica diferente das regiões habitualmente utilizadas pelo ambiente - Tipo de instância de alta performance (ex: `p3.16xlarge`, `Standard_NC96ads`) inconsistente com carga de trabalho conhecida - Múltiplas instâncias criadas em curto intervalo (burst creation) sem correlação com pipeline de implantação - Instância criada sem tags obrigatórias definidas pela política de governança cloud - CloudTrail com `userAgent` incomum (indicando uso de SDK não padrão ou ferramenta de exploração) ## Técnicas Relacionadas - [[T1578002-create-cloud-instance|T1578.002 — Create Cloud Instance]] - [[t1578-modify-cloud-compute-infrastructure|T1578 — Modify Cloud Compute Infrastructure]] - [[T1078004-cloud-accounts|T1078.004 — Cloud Accounts]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1496-resource-hijacking|T1496 — Resource Hijacking]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] ## Analytics Relacionadas - [[an1242-analytic-1242|AN1242 — Analytic 1242]] --- *Fonte: [MITRE ATT&CK — DET0449](https://attack.mitre.org/detectionstrategies/DET0449)*