# DS0033 — Network Share ## Descrição **Network Share** (Compartilhamento de Rede) é um recurso de armazenamento — tipicamente uma pasta ou unidade de disco — disponibilizado por um host para outros dispositivos da mesma rede por meio de protocolos como **SMB** (Server Message Block), **NFS** (Network File System) ou **WebDAV**. O protocolo SMB domina ambientes Windows corporativos e é a base de compartilhamentos administrativos como `C
, `ADMIN
e `IPC
, além de compartilhamentos personalizados criados por administradores ou usuários. Do ponto de vista de segurança, compartilhamentos de rede representam uma superfície de ataque privilegiada: são utilizados por adversários para movimento lateral, exfiltração de dados e propagação de ransomware. A coleta de eventos de acesso, criação, modificação e exclusão de compartilhamentos permite detectar atividades maliciosas como enumeração de compartilhamentos, montagem de drives remotos sem autorização e escrita de payloads em servidores de arquivos. A visibilidade nesta fonte é considerada fundamental para qualquer SOC que opere ambientes Windows com Active Directory. No contexto do Brasil e da América Latina, o SMB continua sendo o principal vetor de propagação de ransomware em redes corporativas — especialmente em organizações que não segmentam redes ou que mantêm compartilhamentos abertos por legado. A monitoração desta fonte de dados, combinada com alertas de Volume Shadow Copy (VSS) e execução remota, forma uma cadeia de detecção eficaz contra grupos como [[lockbit|LockBit]], [[black-basta|Black Basta]] e variantes locais. ## Visão Geral ### Linux/macOS — Coleta via Auditd e Samba **Linux (Samba / NFS):** ```bash # Auditd — monitorar montagem de filesystems de rede -a always,exit -F arch=b64 -S mount -F a1=/mnt/shares -k network_share_mount # Samba — habilitar auditoria de acessos no smb.conf [global] vfs objects = full_audit full_audit:prefix = %u|%I|%m|%S full_audit:success = connect, disconnect, mkdir, rmdir, open, close, read, write full_audit:failure = connect full_audit:facility = local5 full_audit:priority = notice ``` **macOS:** ```bash # Monitorar montagem de compartilhamentos SMB via OpenBSM (auditd macOS) # Filtrar pela syscall mount com path contendo smb:// log stream --predicaté 'subsystem == "com.apple.smbfs"' --level debug ``` ### Integração com SIEM | SIEM | Consulta de Detecção | Observações | |---|---|---| | **Microsoft Sentinel** | `SecurityEvent | where EventID in (5140, 5142, 5144, 5145) | where ShareName !in ("\\\\*\\IPCquot;)` | Excluir IPC$ para reduzir ruído | | **Splunk** | `index=wineventlog EventCode=5140 OR EventCode=5145 NOT ShareName="\\\\*\\IPCquot;` | Correlacionar com processos remotos | | **Elastic (ECS)** | `event.code:(5140 OR 5145) AND NOT winlog.event_data.ShareName:(*\\IPC$)` | Mapear para `network.type: smb` | | **CrowdStrike Falcon** | Telemetria nativa SMB via `NetworkConnectIP4` + `NetworkConnectIP6` | Correlação automática com identidade | ## Pipeline de Coleta ```mermaid graph TB A["🗂️ Servidores de Arquivo<br/>Windows Server · Samba<br/>NAS · DFS Namespace"] --> B["📋 Security Event Log<br/>EID 5140 · 5142 · 5144<br/>EID 5145 (acesso detalhado)"] A --> C["🛡️ EDR / Endpoint<br/>CrowdStrike · MDE<br/>Telemetria SMB nativa"] B --> D["📡 WEF / Syslog<br/>Windows Event Forwarding<br/>NXLog · Winlogbeat"] C --> D D --> E["📦 SIEM<br/>Sentinel · Splunk · Elastic"] E --> F["🚨 Alertas SMB<br/>Ransomware propagação<br/>Enumeração shares · PsExec"] ``` ## Componentes de Dados | Componente | ID | Descrição | |---|---|---| | Network Share Access | [[dc0102-network-share-access\|DC0102]] | Acesso (leitura/escrita) a um compartilhamento de rede por um host remoto | | Network Share Creation | — | Criação de novo compartilhamento (ex: via `net share` ou Group Policy) | | Network Share Modification | — | Alteração de permissões ou configurações de um compartilhamento existente | | Network Share Deletion | — | Remoção de compartilhamento de rede (pode indicar encobrimento de rastros) | ## Como Coletar ### Windows — Event IDs de Auditoria de Compartilhamento SMB Para habilitar a coleta, ative a política **Audit File Share** e **Audit Detailed File Share** via Group Policy: ``` Computer Configuration → Windows Settings → Security Settings → Advanced Audit Policy → Object Access ✅ Audit File Share ✅ Audit Detailed File Share ``` **Event IDs críticos para detecção:** | Event ID | Log | Descrição | Prioridade | |---|---|---|---| | **5140** | Security | Acesso a um objeto de compartilhamento de rede | Alta | | **5142** | Security | Objeto de compartilhamento adicionado (criação) | Alta | | **5143** | Security | Objeto de compartilhamento modificado | Média | | **5144** | Security | Objeto de compartilhamento excluído | Alta | | **5145** | Security | Acesso a arquivo/pasta dentro de um compartilhamento (detalhado) | Alta | | **5168** | Security | Falha de SPN para servidor SMB | Média | > [!warning] Volume de Eventos 5145 > O Event ID 5145 pode gerar volumes extremamente elevados em servidores de arquivos ativos. Recomenda-se filtrar por acessos a partir de sistemas não autorizados, horários fora do expediente ou compartilhamentos sensíveis antes de ingestão no SIEM. ## Técnicas Detectadas Esta fonte de dados é especialmente relevante para detectar técnicas de movimento lateral, coleta e exfiltração via compartilhamentos de rede: | Técnica | Descrição | |---|---| | [[t1021-002-smb-windows-admin-shares\|T1021.002 — SMB/Windows Admin Shares]] | Uso de compartilhamentos administrativos (`C
, `ADMIN
) para movimento lateral e execução remota | | [[t1135-network-share-discovery\|T1135 — Network Share Discovery]] | Enumeração de compartilhamentos disponíveis na rede antes de movimento lateral ou exfiltração | | [[t1039-data-from-network-shared-drive\|T1039 — Data from Network Shared Drive]] | Coleta de dados de interesse em compartilhamentos de rede acessíveis | | [[t1486-data-encrypted-for-impact\|T1486 — Data Encrypted for Impact]] | Propagação de ransomware via SMB para criptografar arquivos em compartilhamentos remotos | | [[t1078-valid-accounts\|T1078 — Valid Accounts]] | Uso de credenciais legítimas para autenticar em compartilhamentos e executar ações maliciosas sem detecção | ## Gaps de Cobertura Brasil/LATAM > [!danger] Gap Crítico — Compartilhamentos SMB Abertos em PMEs > Uma parcela significativa de organizações de médio porte no Brasil opera com compartilhamentos SMB sem autenticação, acessíveis via mapeamento de drive por qualquer usuário do domínio. Esta configuração é o principal facilitador de propagação de ransomware em ambientes corporativos brasileiros. **Lacunas mais comuns identificadas:** 1. **Auditoria desabilitada por padrão:** As políticas `Audit File Share` e `Audit Detailed File Share` não são habilitadas por padrão no Windows Server. A maioria dos ambientes brasileiros nunca as habilitou, resultando em zero visibilidade sobre acessos SMB. 2. **Ausência de segmentação de rede:** Redes flat sem VLANs permitem que um único host comprometido acesse todos os compartilhamentos da organização via SMB, amplificando o impacto de ransomware. 3. **Compartilhamentos administrativos expostos:** `C
, `ADMIN
e `IPC
raramente são desabilitados ou restritos, mesmo em estações de trabalho. Adversários os utilizam rotineiramente para movimento lateral via PsExec, WMI e ferramentas similares. 4. **Ausência de monitoramento de volume:** Operações de ransomware geram picos anômalos de operações de escrita em compartilhamentos de rede. Sem baseline de throughput SMB, estes picos passam despercebidos até que o dano estejá feito. **Recomendações para o contexto brasileiro:** - Habilitar imediatamente `Audit File Share` (Event IDs 5140, 5142, 5144) em todos os DCs e servidores de arquivo - Criar alertas para: acessos a `ADMIN
/`C
fora de janelas de manutenção, novas criações de compartilhamentos por contas não privilegiadas, picos de escrita > 1.000 arquivos/minuto via SMB - Desabilitar SMBv1 em toda a rede (ainda ativo em ~30% dos ambientes brasileiros auditados) - Implementar segmentação de rede para isolar servidores de arquivo de estações de trabalho ## Referências - [[dc0102-network-share-access|DC0102 — Network Share Access]] — componente de dados gerado por esta fonte - [[t1021-002-smb-windows-admin-shares|T1021.002 — SMB/Windows Admin Shares]] — técnica principal de movimento lateral via SMB - [[t1135-network-share-discovery|T1135 — Network Share Discovery]] — enumeração de compartilhamentos como precursor de ataque - [[t1039-data-from-network-shared-drive|T1039 — Data from Network Shared Drive]] — exfiltração via shares de rede - [[ds0028-logon-session|DS0028 — Logon Session]] — fonte complementar para correlação de autenticações SMB - [[m1018-user-account-management|M1018 — User Account Management]] — controle de acesso a compartilhamentos --- *Fonte: [MITRE ATT&CK — DS0033](https://attack.mitre.org/datasources/DS0033)*