# DC0008 - File Deletion ## Descrição File Deletion registra a remoção de arquivos do sistema, seja por operações normais do sistema operacional ou por ações adversariais de cobertura de rastros. Adversários frequentemente deletam logs, ferramentas utilizadas durante o ataque, arquivos temporários e evidências forenses para dificultar a investigação e resposta a incidentes. A detecção de deleções em massa ou de arquivos críticos é indicador importante de atividade pós-comprometimento. ### Pipeline de Detecção ```mermaid graph TB A["📥 Fonte de Dados<br/>Sysmon EID 23/26<br/>Win EID 4663"] --> B["🔄 Coleta<br/>WEF / Wazuh<br/>Elastic Agent"] B --> C["📊 Normalização<br/>Arquivo deletado, hash,<br/>processo responsável"] C --> D["🔍 Correlação<br/>Deleção de logs,<br/>shadow copies, backups"] D --> E["⚠️ Regras de Detecção<br/>Anti-forensics pattern,<br/>pre-ransomware signals"] E --> F["🚨 Alerta<br/>SOC Tier 1 - CRÍTICO"] F --> G["📋 Resposta<br/>Preservação forense +<br/>Isolamento"] classDef source fill:#3498db,stroke:#2c3e50,color:#ecf0f1 classDef process fill:#2ecc71,stroke:#2c3e50,color:#ecf0f1 classDef alert fill:#e74c3c,stroke:#2c3e50,color:#ecf0f1 class A source class B,C,D process class E,F,G alert ``` ## Fonte de Dados Parent: [[ds0022-file|DS0022 - File]] ## O Que Monitorar - Sysmon Event ID 23 (FileDelete) - deleções de arquivos com hash - Deleção de logs de sistema (Event Log, syslog, audit.log) - Remoção de ferramentas após uso (mimikatz, psexec, cobalt strike artifacts) - Deleção em massa de arquivos de usuário (pre-ransomware ou destruição) - Uso de wipe tools (sdelete, shred, cipher /w) - Remoção de Volume Shadow Copies (vssadmin delete shadows) - Deleção de arquivos de backup ou snapshots ## Técnicas Detectadas | Técnica | ID | Como Detectar | |---------|-----|---------------| | Indicator Removal | [[t1070-indicator-removal\|T1070]] | Deleção de logs e artefatos pós-comprometimento | | Data Destruction | [[t1485-data-destruction\|T1485]] | Deleção em massa de arquivos de usuário e sistema | | Impair Defenses | [[t1562-impair-defenses\|T1562]] | Remoção de agentes EDR ou quarantine folders | ## Implementação **Sysmon Event ID 23** (FileDelete arquivado) e Event ID 26 (FileDeleteDetected) para captura de deleções com hash. **Configurar Sysmon para arquivar arquivos deletados:** ```xml <ArchiveDirectory>C:\Sysmon</ArchiveDirectory> <RuleGroup name="FileDelete" groupRelation="or"> <FileDelete onmatch="include"> <TargetFilename condition="contains">\AppData\</TargetFilename> </FileDelete> </RuleGroup> ``` **Windows Event Log:** Event ID 4663 (Object Access - File Audit) para monitorar deleções em diretórios críticos com SACL configurado. **Alertas prioritários:** - `vssadmin delete shadows` - deleção de shadow copies (pre-ransomware) - `wevtutil cl` - limpeza de event logs - `del /f /s` em diretórios de logs **Ferramentas:** Sysmon, Wazuh, Windows Event Forwarding, Elastic Endpoint, CrowdStrike Falcon. ## Detecção KQL (Microsoft Sentinel / Defender) ```kql // Deleção de Shadow Copies (sinal forte de ransomware) DeviceProcessEvents | where FileName in~ ("vssadmin.exe", "wmic.exe", "bcdedit.exe") | where ProcessCommandLine has_any ("delete shadows", "shadowcopy delete", "recoveryenabled no") | project Timestamp, DeviceName, FileName, ProcessCommandLine, InitiatingProcessFileName ``` ```kql // Limpeza de Event Logs (anti-forensics) DeviceProcessEvents | where FileName =~ "wevtutil.exe" and ProcessCommandLine has "cl" | project Timestamp, DeviceName, ProcessCommandLine, AccountName | union ( SecurityEvent | where EventID == 1102 | project TimeGenerated, Computer, Account ) ``` ## Contexto LATAM > [!latam] Relevância Regional > A detecção de deleção de arquivos e shadow copies é um indicador crítico de ransomware, a ameaça mais custosa para organizações brasileiras. Grupos como LockBit e BlackCat utilizam sistematicamente a deleção de backups antes da criptografia. Muitas organizações brasileiras ainda não monitoram Sysmon Event ID 23, perdendo a capacidade de recuperar artefatos deletados pelo atacante. > - Adoção em SOCs brasileiros: **baixo a médio** > - Ferramentas comuns: Wazuh (alertas de deleção via FIM), Sysmon (EID 23/26 quando configurado), CrowdStrike Falcon > - Desafios: Sysmon EID 23 requer espaço em disco para arquivo de deleções (raramente habilitado); falta de monitoramento de shadow copies em tempo real; organizações menores não possuem SACL configurado em diretórios críticos