# DS0022 — File ## Visão Geral **Gap 1 — Auditoria de Object Access desabilitada** A política de auditoria de acesso a objetos (`auditpol`) frequentemente está desabilitada por padrão no Windows e raramente é ativada em ambientes sem maturidade de segurança. Sem isso, eventos 4663 (acesso a arquivos) não são gerados. **Gap 2 — SACL não configurada em pastas críticas** Mesmo com auditoria ativada, arquivos individuais precisam de SACL configurada para gerar eventos de acesso. Administradores raramente configuram SACLs além das pastas padrão. **Gap 3 — Sysmon não implantado ou mal configurado** Em ambientes SME (pequenas e médias empresas) no Brasil, Sysmon está ausente em mais de 70% dos endpoints. Quando presente, configurações genéricas geram noise excessivo ou são muito permissivas para arquivos críticos. **Gap 4 — ESXi sem monitoramento de integridade** Hypervisors VMware ESXi raramente têm FIM ou auditoria configurada. Atores como [[g1048-unc3886]] e grupos de ransomware exploram esse ponto cego para implantar backdoors persistentes. **Gap 5 — Ausência de correlação entre File Creation e execução** Criar um arquivo `.exe` em `%TEMP%` não é suficiente para gerar alerta. A correlação entre File Creation (Sysmon ID 11) + Process Creation (Sysmon ID 1) no mesmo path é o que gera detecção de alta fidelidade — e raramente está configurada. **Recomendações:** - Implantar Sysmon com perfil SwiftOnSecurity ou Olaf Hartong como baseline - Ativar FIM em pelo menos: diretórios de inicialização, pastas web, `%TEMP%`, `/etc`, `/var/www` - Configurar regras SIGMA para `FileCreate` + `ProcessCreate` no mesmo caminho - Para ESXi: implementar verificação de integridade de VIBs periodicamente ## Descrição O sistema de arquivos é um dos recursos mais fundamentais e monitorados em segurança ofensiva e defensiva. Um arquivo é um objeto gerenciado pelo sistema de E/S do sistema operacional para armazenar dados persistentes — imagens, textos, vídeos, executáveis, configurações, certificados, scripts ou qualquer outro tipo de mídia. Toda operação sobre arquivos (criação, acesso, modificação, exclusão, renomeação, permissão) é um evento potencialmente investigável. Do ponto de vista da detecção, o monitoramento de arquivos é particularmente crítico porque representa a camada onde malware se instala, onde credenciais são despejadas, onde ferramentas de ofuscação atuam e onde a persistência é frequentemente mantida. Adversários modernos tentam minimizar a footprint em disco (fileless attacks, LOLBins), mas ainda assim precisam interagir com o sistema de arquivos em algum momento do ciclo de ataque — para depositar payloads, ler configurações, extrair segredos ou executar ferramentas. Em ambientes ESXi e de virtualização, o monitoramento de arquivos ganha uma dimensão adicional: a manipulação de VMs, VMDKs e arquivos de configuração de hypervisors tornou-se vetor de ataques direcionados por atores como [[g1048-unc3886]], que exploram o ESXi como ponto de persistência invisível ao EDR. ```mermaid graph TB A["📁 Sistema de Arquivos<br/>Windows / Linux / macOS<br/>ESXi VMFS"] --> B["🔍 Monitoramento de Eventos<br/>Sysmon ID 11/23/2/9<br/>auditd / FSEvents"] B --> C["🛡️ FIM — File Integrity<br/>AIDE / Wazuh FIM<br/>Tripwire / CrowdStrike"] B --> D["📋 Auditoria Nativa<br/>EID 4663 Object Access<br/>SACL configurada"] C --> E["📥 SIEM<br/>Correlação FileCreaté<br/>+ ProcessCreaté"] D --> E E --> F{"🎯 Detecção<br/>Webshell? Malware drop?<br/>Credential dump?"} F -->|"Ameaça"| G["🚨 Alerta<br/>T1505.003 / T1003<br/>T1027 / T1070"] ``` ## Componentes de Dados | Componente | ID MITRE | Descrição | Eventos Relevantes | |-----------|----------|-----------|-------------------| | File Creation | [[dc0039-file-creation\|DC0039]] | Criação de novo arquivo (malware drop, scripts) | Sysmon ID 11, Windows Event 4663 | | File Deletion | [[dc0040-file-deletion\|DC0040]] | Remoção de arquivo (limpeza de rastros) | Sysmon ID 23 | | File Access | [[dc0055-file-access\|DC0055]] | Leitura/abertura de arquivo (coleta de credenciais) | Windows Event 4663 (acctype=ReadData) | | File Modification | [[dc0061-file-modification\|DC0061]] | Alteração de conteúdo (webshells, config tampering) | Sysmon ID 2 (timestamp mod), FIM alerts | | File Metadata | [[dc0059-file-metadata\|DC0059]] | Leitura de atributos, permissões, timestamps | Windows Event 4656 | | Drive Creation | [[dc0042-drive-creation\|DC0042]] | Montagem de novo volume/drive | Windows Event 6416 | | Drive Modification | [[dc0046-drive-modification\|DC0046]] | Alteração de volume montado | VSS events | | Drive Access | [[dc0054-drive-access\|DC0054]] | Acesso direto a volume (bypass de sistema de arquivos) | Sysmon ID 9 (RawAccessRead) | ## Como Coletar ### Windows — Auditoria Nativa ``` Política de Auditoria (auditpol): auditpol /set /category:"Object Access" /success:enable /failure:enable Event IDs críticos: 4656 — Handle solicitado para objeto (arquivo/diretório) 4663 — Tentativa de acesso a objeto (leitura, escrita, execução) 4660 — Objeto excluído 4670 — Permissões de objeto alteradas Importante: habilitar SACL (System Access Control List) nas pastas críticas (ex: C:\Windows\System32, diretórios de startup, pastas de usuário) ``` ### Windows — Sysmon ```yaml # Configuração Sysmon relevante para DS0022 <EventFiltering> <!-- FileCreaté: detecta novos arquivos --> <RuleGroup name="" groupRelation="or"> <FileCreaté onmatch="include"> <TargetFilename condition="contains">AppData\Roaming</TargetFilename> <TargetFilename condition="contains">Temp</TargetFilename> <TargetFilename condition="end with">.exe</TargetFilename> <TargetFilename condition="end with">.ps1</TargetFilename> <TargetFilename condition="end with">.vbs</TargetFilename> </FileCreaté> </RuleGroup> <!-- RawAccessRead: acesso direto a disco (ID 9) --> <RawAccessRead onmatch="include"> <Image condition="is not">System</Image> </RawAccessRead> </EventFiltering> Sysmon Event IDs para arquivos: 11 — FileCreaté 23 — FileDelete 26 — FileDeleteDetected 2 — FileCreationTimeChanged (timestamp tampering) 9 — RawAccessRead (acesso direto a volume) ``` ### Linux ```bash # auditd — monitoramento de acesso a arquivos críticos auditctl -w /etc/passwd -p war -k credential_access auditctl -w /etc/shadow -p war -k credential_access auditctl -w /tmp -p wxa -k tmp_execution auditctl -w /var/www -p wxa -k webshell_detection # inotifywait — monitoramento em tempo real inotifywait -m -r /etc /home /tmp -e creaté,modify,delete # fanotify — monitoramento de alto desempenho (via ferramentas EDR) ``` ### macOS ``` Unified Log + FSEvents: log show --predicaté 'subsystem == "com.apple.fsevents"' OpenBSM / auditd: auditctl -w /Library/LaunchAgents auditctl -w /Library/LaunchDaemons ``` ### ESXi ``` Logs relevantes: /var/log/vmkernel.log — operações de kernel incluindo acesso a VMDK /var/log/vobd.log — observer de objetos virtuais /var/log/auth.log — acesso SSH e comandos executados Monitorar específicamente: - Criação/modificação de arquivos .vib (ESXi malware) - Acesso a /vmfs/volumes fora de janelas de manutenção ``` ### File Integrity Monitoring (FIM) Ferramentas FIM complementam a auditoria nativa: - **AIDE** (Linux) — baseline + detecção de mudanças - **Tripwire** (multiplataforma) — FIM enterprise - **Wazuh FIM** — integrado ao SIEM, nativo para LATAM - **Qualys FIM**, **CrowdStrike FIM** — soluções SaaS ## Técnicas Detectadas | Técnica | Tática | Como DS0022 Detecta | |---------|--------|-------------------| | [[t1027-obfuscated-files-or-information\|T1027 — Obfuscated Files or Information]] | Defense Evasion | Detecção de arquivos com entropy alta (FIM + heurística) | | [[t1059-command-and-scripting-interpreter\|T1059 — Command and Scripting Interpreter]] | Execution | Criação de scripts (.ps1, .sh, .vbs) em pastas temporárias | | [[t1003-os-credential-dumping\|T1003 — OS Credential Dumping]] | Credential Access | Acesso a NTDS.dit, SAM, /etc/shadow — File Access events | | [[t1505-003-web-shell\|T1505.003 — Web Shell]] | Persistence | Criação de arquivo .php/.aspx em diretório web (File Creation) | | [[t1070-indicator-removal\|T1070 — Indicator Removal]] | Defense Evasion | File Deletion de logs, artefatos e ferramentas pós-comprometimento | ## Gaps de Cobertura Brasil/LATAM > [!warning] Gaps Críticos em Monitoramento de Sistema de Arquivos > O monitoramento de arquivos gera alto volume de eventos — o que frequentemente leva equipes LATAM a desabilitá-lo ou sub-configurá-lo. ## Referências - [[dc0039-file-creation|DC0039 — File Creation]] - [[dc0040-file-deletion|DC0040 — File Deletion]] - [[dc0055-file-access|DC0055 — File Access]] - [[dc0061-file-modification|DC0061 — File Modification]] - [[dc0054-drive-access|DC0054 — Drive Access]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1505-003-web-shell|T1505.003 — Web Shell]] - [MITRE ATT&CK — DS0022 File](https://attack.mitre.org/datasources/DS0022/) - [Sysmon — Sysinternals](https://docs.microsoft.com/sysinternals/downloads/sysmon)