Descripcion de la Tecnica
Revert Cloud Instance es una técnica de ataque patrón que permite a un adversario revertir cambios realizados en una instancia de nube después de haber ejecutado actividades maliciosas. El objetivo es evadir la detección y eliminar evidencia de su presencia. Esta acción se logra mediante el restaurar de instantáneas (snapshots) de máquinas virtuales (VM) o almacenamiento de datos a través de paneles de gestión de nube o APIs. Además, puede implicar el uso de almacenamiento temporal adjunto a una instancia de cálculo.
Como Funciona
El atacante utiliza herramientas de la nube para restaurar estados anteriores de una instancia, eliminando rastros de actividades maliciosas. En entornos virtualizados, esto se logra mediante el uso de snapshots o dispositivos temporales. La técnica aprovecha la capacidad de la nube para restablecer configuraciones y datos a un punto en el tiempo anterior al ataque, evitando la detección por parte de sistemas de seguridad.
Actores que la Utilizan
No se especifican actores particulares en la documentación MITRE ATT&CK. La técnica es utilizada por adversarios generales con objetivo de ocultar actividades maliciosas en entornos basados en nube.
Deteccion
La detección requiere monitoreo continuo de cambios en instancias de nube, especialmente en el uso de snapshots o almacenamiento temporal. Herramientas de seguridad deben alertar sobre actividades anómalas como la creación de snapshots no autorizados o la restauración de estados anteriores sin justificación lógica.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigacion
Para mitigar este riesgo, es recomendable implementar monitoreo en tiempo real de actividades relacionadas con snapshots y almacenamiento temporal. Herramientas como AWS CloudTrail, Azure Monitor o Google Cloud Audit Logs pueden ayudar a detectar cambios inusuales. También se sugiere habilitar alertas para creaciones o eliminaciones no autorizadas de snapshots y realizar auditorías periódicas de la infraestructura de nube.