# T1578 - Modify Cloud Compute Infrastructure ## Descrição Adversários podem tentar modificar a infraestrutura de computação em nuvem de uma conta para evadir defesas. A modificação da infraestrutura de serviços de computação pode incluir criação, exclusão ou alteração de um ou mais componentes, como instâncias de computação, máquinas virtuais e snapshots. Permissões obtidas por meio da modificação de componentes de infraestrutura podem contornar restrições que impedem o acesso à infraestrutura existente. A modificação de componentes de infraestrutura também pode permitir que o adversário evite detecção e remova evidências de sua presença. Ambientes de IaaS como [[aws|AWS]], [[azure|Microsoft Azure]] e [[gcp|Google Cloud Platform]] expõem APIs ricas que permitem criação e destruição de recursos em escala. Quando um adversário compromete credenciais com permissões suficientes - especialmente roles IAM com acesso a operações de computação - toda a superfície de gerenciamento de infraestrutura se torna um vetor de evasão. A técnica T1578 abrange um conjunto de sub-técnicas que cobrem cenários distintos de abuso da camada de computação em nuvem. ## Sub-técnicas - [[t1578-001-create-snapshot|T1578.001 - Creaté Snapshot]] - [[t1578-002-create-cloud-instance|T1578.002 - Creaté Cloud Instance]] - [[t1578-003-delete-cloud-instance|T1578.003 - Delete Cloud Instance]] - [[t1578-004-revert-cloud-instance|T1578.004 - Revert Cloud Instance]] - [[t1578-005-modify-cloud-compute-configurations|T1578.005 - Modify Cloud Compute Configurations]] ## Como Funciona O adversário explora credenciais de nuvem comprometidas ou roles IAM excessivamente permissivas para interagir diretamente com as APIs de computação do provedor. O fluxo típico envolve: 1. **Reconhecimento de permissões** - O adversário enumera as permissões disponíveis na conta comprometida usando chamadas como `iam:SimulatePrincipalPolicy` (AWS) ou `az role assignment list` (Azure). 2. **Identificação de alvos** - Lista instâncias existentes, snapshots e grupos de segurança para entender a topologia da infraestrutura. 3. **Modificação cirúrgica** - Executa a operação desejada: criar snapshot para exfiltração silenciosa, criar nova instância para lateralidade, deletar instância para destruição de evidências ou reverter para um estado anterior. 4. **Cobertura de rastros** - Desabilita logging no CloudTrail/Monitor antes ou depois da operação, ou opera em regiões onde o logging não foi configurado. A ausência de interação com o sistema operacional convidado é uma característica relevante: toda a atividade ocorre na camada de gerenciamento (control plane), tornando ineficazes soluções de EDR que monitoram apenas o plano de dados (data plane). ## Attack Flow ```mermaid graph TB A[Comprometimento de Credenciais IaaS<br/>IAM Role / Access Key / Service Principal] --> B[Enumeração de Permissões<br/>iam:SimulatePrincipalPolicy / az role list] B --> C{Objetivo do Adversário} C --> D[Criar Snapshot<br/>T1578.001 - Exfiltração silenciosa] C --> E[Criar Nova Instância<br/>T1578.002 - Movimento lateral / mining] C --> F[Deletar Instância<br/>T1578.003 - Destruição de evidências] C --> G[Reverter Instância<br/>T1578.004 - Desfazer defesas aplicadas] C --> H[Modificar Configurações<br/>T1578.005 - Alterar SGs / firewall rules] D --> I[Compartilhar snapshot com conta externa] E --> J[Deploy de ferramenta C2 na nova instância] F --> K[Logs forenses destruídos] G --> L[Sistema retorna a estado pré-remediação] H --> M[Abertura de porta para acesso persistente] I & J & K & L & M --> N[Evasão bem-sucedida<br/>Persistência e/ou Exfiltração mantidas] ``` ## Exemplos de Uso **Cryptojacking via nova instância (T1578.002)** Grupos de cryptojacking como TeamTNT e 8220 Gang comprometem chaves de acesso AWS expostas em repositórios públicos e utilizam a API `RunInstances` para provisionar dezenas de instâncias com GPUs ou vCPUs de alto desempenho em regiões de menor custo, usando os recursos de computação da vítima para mineração de criptomoedas. **Exfiltração via snapshot compartilhado (T1578.001)** O adversário cria um snapshot de um volume EBS contendo dados sensíveis e o compartilha com uma conta AWS controlada por ele. A operação não gera tráfego de rede detectável pelo guardião do perímetro, pois ocorre inteiramente dentro da API do provedor. Relacionado a campanhas envolvendo [[g0016-apt29|APT29]] e grupos de espionagem com acesso a ambientes multi-cloud. **Evasão por reversão (T1578.004)** Após a equipe de resposta aplicar patches de emergência e remover backdoors de uma instância comprometida, o adversário - que manteve acesso à camada de gerenciamento - reverte a instância para um snapshot criado antes da remediação, reativando todos os acessos removidos. Essa tática foi documentada em incidentes envolvendo [[_defense-evasion|evasão de defesa]] em ambientes Azure. **Isolamento de conta AWS (relacionado a T1666)** Em cenários de [[t1666-modify-cloud-resource-hierarchy|T1666 - Modify Cloud Resource Hierarchy]], o adversário pode combinar a saída de uma AWS Organization (removendo SCPs) com a criação de novas instâncias livres de restrições de compliance. ## Detecção A detecção eficaz de T1578 requer monitoramento das APIs de gerenciamento de nuvem (control plane), não apenas do tráfego de rede. As principais fontes de dados são AWS CloudTrail, Azure Activity Log e GCP Audit Logs. ```yaml title: Criação ou Exclusão Suspeita de Instância Cloud status: experimental logsource: category: cloud product: aws service: cloudtrail detection: selection_run: eventSource: ec2.amazonaws.com eventName|contains: - RunInstances - TerminateInstances - CreateSnapshot - ModifySnapshotAttribute - RevertToSnapshot filter_expected_automation: userAgent|contains: - aws-sdk-go - terraform condition: selection_run and not filter_expected_automation level: high tags: - attack.defense_evasion - attack.t1578 ``` **Indicadores comportamentais adicionais:** - Chamadas a `RunInstances` ou `CreateSnapshot` fora do horário comercial ou de regiões incomuns - `ModifySnapshotAttribute` com `createVolumePermission` adicionando contas externas (possível exfiltração) - `TerminateInstances` seguido imediatamente por ausência de logs subsequentes na instância - Sequência de `StopInstances` → `CreateSnapshot` → `StartInstances` em curto intervalo (reconhecimento ou preparação para exfiltração) - Chamadas de API originadas de IPs de saída de VPN/proxy que não são parte dos sistemas de automação conhecidos ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1018 | [[m1018-user-account-management\|M1018 - User Account Management]] | Aplicar princípio do menor privilégio em roles IAM. Restringir `ec2:RunInstances`, `ec2:CreateSnapshot`, `ec2:TerminateInstances` a roles específicas com justificativa de negócio. Usar AWS Organizations SCPs para limitar operações de alto impacto. | | M1047 | [[m1047-audit\|M1047 - Audit]] | Habilitar CloudTrail em todas as regiões com integridade de log ativada. Configurar alertas em Security Hub ou SIEM para operações de computação anômalas. Revisar periodicamente quem tem permissão para criar/deletar instâncias e snapshots. | **Controles adicionais recomendados:** - **MFA obrigatório** para operações de alto impacto via políticas de condição IAM (`aws:MultiFactorAuthPresent`) - **AWS Config Rules** ou **Azure Policy** para detectar instâncias não conformes recém-criadas - **GuardDuty** (AWS) habilitado para detecção de comportamento anômalo em APIs EC2 - **Defender for Cloud** (Azure) com alertas para operações de VM incomuns - Segregação de ambientes por conta/subscription com SCPs para operações cross-account ## Contexto Brasil/LATAM A adoção acelerada de infraestrutura em nuvem no Brasil - impulsionada pela abertura de regiões AWS São Paulo (sa-east-1), Azure Brasil Sul e GCP São Paulo - ampliou significativamente a superfície de ataque para T1578 na região. **Grupos e incidentes relevantes no contexto LATAM:** - **Cryptojacking em escala**: O setor financeiro brasileiro reportou múltiplos incidentes de cryptojacking via AWS em 2023-2024, onde credenciais expostas em repositórios GitHub de desenvolvedores foram usadas para instanciar dezenas de EC2 G4 (GPU) para mineração de Monero. O [[financial|setor financeiro]] foi o mais impactado. - **MSPs como vetor**: Provedores de serviços gerenciados (MSPs) na América Latina frequentemente têm acesso privilegiado às contas de nuvem de múltiplos clientes. O comprometimento de um MSP pode dar ao adversário acesso a dezenas de ambientes IaaS simultaneamente, tornando T1578 operacionalmente escalável. - **Conformidade LGPD**: A exclusão de instâncias contendo logs de acesso (T1578.003) pode constituir violação da Lei Geral de Proteção de Dados (LGPD) além do impacto operacional, criando uma camada adicional de risco regulatório para organizações brasileiras vítimas. - **Ransomware em nuvem**: Grupos como [[lockbit|LockBit]] e [[blackcat|BlackCat]] têm evoluído para destruir snapshots de backup em nuvem (T1578.003) antes de executar o payload de ransomware, eliminando a principal via de recuperação para organizações com infraestrutura IaaS. ## Referências - MITRE ATT&CK - T1578 e suas sub-técnicas - AWS Security Best Practices: EC2 e IAM - Azure Security Center: VM threat protection - CIS Benchmark for AWS - Seção de Logging e Monitoramento - CISA Advisory sobre comprometimento de ambientes cloud *Fonte: MITRE ATT&CK - T1578*