# DET0864 — Detection of Serverless ## Descrição A estratégia DET0864 aborda a detecção de uso adversarial de infraestrutura serverless — como AWS Lambda, Azure Functions, Google Cloud Functions e Cloudflare Workers — para hospedagem de C2, distribuição de malware, phishing e execução de código malicioso. Serviços serverless são atraentes para adversários por sua escalabilidade instantânea, custo mínimo (ou gratuito em tiers), e pelo fato de que seu tráfego se origina de IPs pertencentes a grandes provedores cloud, dificultando bloqueio perimetral. Adversários utilizam funções serverless como redirectores de C2 (proxy entre implante e servidor real), hosts de páginas de phishing com URLs aparentemente legítimas (ex: `*.cloudfunctions.net`, `*.azurewebsites.net`), e como mecanismo de exfiltração de dados que mimetiza tráfego legítimo de API. A natureza efêmera das funções serverless dificulta investigações forenses post-incident. A detecção requer monitoramento de invocações anômalas de funções serverless em ambientes corporativos, análise de destinos de tráfego de rede para endpoints de provedores serverless não autorizados, e correlação com feeds de inteligência sobre URLs e domínios de plataformas serverless usados em campanhas de phishing ativas. ## Indicadores de Detecção - Tráfego de saída de endpoint corporativo para subdomínios serverless não autorizados (Lambda URLs, Cloud Functions) - Função serverless corporativa invocada com parâmetros incomuns ou payload codificado em base64 - Criação de função serverless em conta cloud corporativa por usuário sem justificativa de negócio - URL de phishing identificada em gateway de e-mail hospedada em plataforma serverless legítima - Função serverless com alto volume de invocações externas originadas de IPs associados a botnets - Dados sensíveis exfiltrados via requisições POST para endpoint serverless externo - Função Lambda ou Azure Function com permissões excessivas em IAM role associada ## Técnicas Relacionadas - [[T1583.007-serverless|T1583.007 — Acquire Infrastructure: Serverless]] - [[T1584.007-serverless|T1584.007 — Compromise Infrastructure: Serverless]] - [[t1102-web-service|T1102 — Web Service]] - [[t1567-exfiltration-over-web-service|T1567 — Exfiltration Over Web Service]] - [[t1071-001-web-protocols|T1071.001 — Application Layer Protocol: Web Protocols]] - [[t1608-stage-capabilities|T1608 — Stage Capabilities]] ## Analytics Relacionadas - [[an1996-analytic-1996|AN1996 — Analytic 1996]] --- *Fonte: [MITRE ATT&CK — DET0864](https://attack.mitre.org/detectionstrategies/DET0864)*