# DET0492 — Detection Strategy for Modify Cloud Compute Infrastructure: Modify Cloud Compute Configurations ## Descrição A modificação de configurações de infraestrutura de computação em nuvem é uma técnica usada por adversários para alterar o comportamento de recursos de nuvem em benefício próprio: adicionar regras de firewall permissivas, modificar roles IAM para ampliar privilégios, alterar configurações de instâncias para persistência ou desabilitar logging. Essa técnica é mapeada como [[T1578.005-modify-cloud-compute-infrastructure-modify-cloud-compute-configurations|T1578.005]] e técnicas relacionadas da família [[t1578-modify-cloud-compute-infrastructure|T1578]] no MITRE ATT&CK. Em ambientes AWS, Azure e GCP, adversários com acesso a credenciais de cloud ou roles com permissões excessivas podem modificar Security Groups, Network ACLs, políticas de IAM e configurações de instâncias para criar backdoors persistentes ou ampliar o raio de impacto de um comprometimento. Grupos como [[g0016-apt29|Cozy Bear/APT29]] e atores financeiros como [[g1015-scattered-spider|Scattered Spider]] documentadamente modificam configurações de nuvem como parte de suas cadeias de ataque. A detecção requer monitoramento de CloudTrail (AWS), Azure Activity Log e GCP Audit Logs para identificar modificações em configurações críticas de segurança. A correlação entre a identidade do principal que realiza a modificação, o recurso afetado e o contexto temporal (horário, IP de origem, session token) permite distinguir mudanças legítimas de configuração de atividade maliciosa. ## Indicadores de Detecção - Modificação de Security Group ou Network ACL adicionando regras de ingresso/egresso irrestrito (0.0.0.0/0) - Alteração de políticas IAM expandindo permissões para roles ou usuários existentes fora de janela de mudança aprovada - Desabilitação de CloudTrail, Azure Diagnostics ou GCP Audit Logging por principal não autorizado - Criação de chaves de API ou service account com permissões administrativas por usuário sem necessidade documentada - Modificação de configurações de instâncias de computação (user-data, metadata) que podem executar código na inicialização - Alteração de configurações de VPC/VNET criando peering ou conexões com contas externas não aprovadas - Remoção de tags de resource obrigatórias ou alteração de configurações de compliance/guardrails ## Técnicas Relacionadas - [[t1578-modify-cloud-compute-infrastructure|T1578 — Modify Cloud Compute Infrastructure]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1537-transfer-data-to-cloud-account|T1537 — Transfer Data to Cloud Account]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] ## Analytics Relacionadas - [[an1356-analytic-1356|AN1356 — Analytic 1356]] --- *Fonte: [MITRE ATT&CK — DET0492](https://attack.mitre.org/detectionstrategies/DET0492)*