# DET0829 — Detection of Serverless ## Descrição Adversários utilizam infraestrutura serverless (AWS Lambda, Azure Functions, Google Cloud Functions, Cloudflare Workers) para hospedar componentes de sua infraestrutura de ataque — servidores de C2, redirectores, scripts de phishing e proxies de exfiltração. O uso de plataformas serverless de grandes provedores de nuvem oferece vantagens significativas para o atacante: IPs pertencentes a provedores confiáveis (Amazon, Microsoft, Google) que raramente são bloqueados, escalabilidade automática, custo baixo e dificuldade de atribuição. Grupos como [[g0016-apt29]] e [[g0096-apt41]] documentadamente utilizam infraestrutura de nuvem legítima para mascarar tráfego C2. A identificação de infraestrutura serverless legítima da organização exposta ao público também é relevante — funções Lambda ou Azure Functions mal configuradas podem expor dados sensíveis ou permitir execução de código não autorizado. Adversários realizam reconhecimento de infraestrutura serverless da organização via análise de subdomínios, headers HTTP de resposta que revelam provedores de cloud function, e enumeração de endpoints de API públicos que chamam funções serverless. A detecção de abuso de serverless como infraestrutura de C2 requer monitoramento de tráfego para ranges de IP de provedores de cloud conhecidos em contextos incomuns, análise de padrões de beaconing regulares para domínios `*.amazonaws.com`, `*.azurewebsites.net` ou `*.workers.dev`, e correlação de logs de função serverless da própria organização para identificar invocações não autorizadas. A proteção de funções serverless expostas com autenticação forte e controles de autorização é fundamental, relacionada a [[t1583-acquire-infrastructure|T1583-acquire-infrastructure]] e [[t1071-application-layer-protocol|T1071-application-layer-protocol]]. ## Indicadores de Detecção - Beaconing regular para domínios `*.amazonaws.com`, `*.workers.dev`, `*.azurewebsites.net` sem correspondência com uso legítimo - Invocações não autorizadas de funções Lambda ou Azure Functions da organização nos logs de cloud - Funções serverless da organização expostas sem autenticação identificadas via varredura de superfície de ataque - Tráfego de saída para endpoints de API serverless com intervalos regulares (indicativo de C2) - Exfiltração de dados via chamadas HTTP POST para functions de cloud (volumes anômalos) - Funções serverless criadas em contas cloud da organização por identidades não reconhecidas - Logs de invocação de função mostrando origem de IPs maliciosos conhecidos ## Técnicas Relacionadas - [[t1583-acquire-infrastructure|T1583-acquire-infrastructure]] — uso de serverless como infraestrutura de ataque - [[t1071-application-layer-protocol|T1071-application-layer-protocol]] — C2 via protocolos web para endpoints serverless - [[t1090-proxy|T1090-proxy]] — funções serverless como redirectores de tráfego C2 - [[t1567-exfiltration-over-web-service|T1567-exfiltration-over-web-service]] — exfiltração via serviços serverless legítimos - [[t1608-stage-capabilities|T1608-stage-capabilities]] — hospedagem de payloads em infraestrutura serverless ## Analytics Relacionadas - [[an1961-analytic-1961|AN1961 — Analytic 1961]] --- *Fonte: [MITRE ATT&CK — DET0829](https://attack.mitre.org/detectionstrategies/DET0829)*