# DC0006 - File Creation ## Descrição File Creation monitora a criação de novos arquivos no sistema de arquivos, incluindo executáveis, scripts, documentos e arquivos de configuração. É um dos data components mais amplamente aplicáveis para detecção de técnicas adversariais, cobrindo desde o download de ferramentas ofensivas até a criação de mecanismos de persistência. A correlação entre o processo criador e o arquivo gerado é essencial para distinguir atividade legítima de maliciosa. ### Pipeline de Detecção ```mermaid graph TB A["📥 Fonte de Dados<br/>Sysmon EID 11<br/>EDR File Telemetry"] --> B["🔄 Coleta<br/>Wazuh FIM / Elastic Agent<br/>Carbon Black"] B --> C["📊 Normalização<br/>Hash, caminho, processo<br/>criador, extensão"] C --> D["🔍 Correlação<br/>Hash lookup (VT/MISP),<br/>path anomaly, extension"] D --> E["⚠️ Regras de Detecção<br/>Executáveis em %TEMP%,<br/>scripts por Office"] E --> F["🚨 Alerta<br/>SOC Tier 1 - Triagem"] F --> G["📋 Resposta<br/>Quarentena +<br/>Análise de malware"] classDef source fill:#3498db,stroke:#2c3e50,color:#ecf0f1 classDef process fill:#2ecc71,stroke:#2c3e50,color:#ecf0f1 classDef alert fill:#e74c3c,stroke:#2c3e50,color:#ecf0f1 class A source class B,C,D process class E,F,G alert ``` ## Fonte de Dados Parent: [[ds0022-file|DS0022 - File]] ## O Que Monitorar - Sysmon Event ID 11 (FileCreate) com hash e processo criador - Criação de executáveis (.exe, .dll, .sys) por processos não-instaladores - Criação de scripts (.ps1, .bat, .vbs, .js) por Office, browsers ou email clients - Arquivos criados em diretórios temporários ou de usuário (`%APPDATA%`, `%TEMP%`) - Criação de arquivos em diretórios de Startup ou Run Keys - Arquivos com extensões duplas (document.pdf.exe) - Criação de arquivos durante horários não comerciais ## Técnicas Detectadas | Técnica | ID | Como Detectar | |---------|-----|---------------| | Ingress Tool Transfer | [[t1105-ingress-tool-transfer\|T1105]] | Executáveis criados por browsers ou powershell.exe | | Boot/Logon Autostart Execution | [[t1547-boot-or-logon-autostart-execution\|T1547]] | Arquivos em Startup, Roaming, ou HKCU\Run targets | | Scheduled Task/Job | [[t1053-scheduled-task-job\|T1053]] | XML de task criado em C:\Windows\System32\Tasks | | Command and Scripting Interpreter | [[t1059-command-and-scripting-interpreter\|T1059]] | Scripts .ps1/.vbs criados e executados imediatamente | | User Execution | [[t1204-user-execution\|T1204]] | Arquivos maliciosos criados por abertura de documento | ## Implementação **Sysmon:** ```xml <RuleGroup name="FileCreaté" groupRelation="or"> <FileCreaté onmatch="include"> <TargetFilename condition="contains">\AppData\</TargetFilename> <TargetFilename condition="ends with">.exe</TargetFilename> </FileCreaté> </RuleGroup> ``` **Windows Event Log:** Habilitar auditoria de Object Access > File System Audit para diretórios críticos. FIM (File Integrity Monitoring) via OSSEC/Wazuh ou Sysmon. **EDR:** CrowdStrike Falcon, Defender for Endpoint e SentinelOne registram criação de arquivos com contexto completo de processo. **Ferramentas:** Sysmon, Wazuh, Tripwire, OSSEC, Carbon Black, CrowdStrike Falcon, Elastic Agent. ## Detecção KQL (Microsoft Sentinel / Defender) ```kql // Executáveis criados em diretórios temporários DeviceFileEvents | where ActionType == "FileCreated" | where FolderPath has_any ("\\Temp\\", "\\AppData\\Local\\Temp\\", "\\Users\\Public\\") | where FileName endswith ".exe" or FileName endswith ".dll" or FileName endswith ".scr" | project Timestamp, DeviceName, InitiatingProcessFileName, FileName, FolderPath, SHA256 | order by Timestamp desc ``` ```kql // Scripts criados por processos Office (macro execution) DeviceFileEvents | where ActionType == "FileCreated" | where InitiatingProcessFileName in~ ("winword.exe", "excel.exe", "powerpnt.exe") | where FileName endswith ".ps1" or FileName endswith ".bat" or FileName endswith ".vbs" or FileName endswith ".js" | project Timestamp, DeviceName, InitiatingProcessFileName, FileName, FolderPath ``` ## Contexto LATAM > [!latam] Relevância Regional > File Creation é amplamente monitorado em SOCs brasileiros, especialmente via Wazuh FIM que tem forte adoção no Brasil. A detecção de criação de executáveis por macros do Office é particularmente relevante dado o alto volume de campanhas de phishing com documentos maliciosos direcionadas ao setor financeiro brasileiro (Grandoreiro, Mekotio). O desafio principal é o tuning para reduzir falsos positivos em ambientes com instalações de software frequentes. > - Adoção em SOCs brasileiros: **alto** > - Ferramentas comuns: Wazuh FIM (líder em adoção open-source), Sysmon, Elastic Endpoint, CrowdStrike Falcon > - Desafios: alto volume de falsos positivos em ambientes corporativos com instalações frequentes; dificuldade de manter whitelist de processos legítimos atualizada; cobertura limitada em sistemas Linux/macOS comparado a Windows