# DC0029 - Network Share Access > [!info] Monitora o acesso a compartilhamentos de rede SMB/CIFS. Crítico para detectar movimentação lateral via admin shares, coleta de dados em file servers e propagação de ransomware para drives de rede compartilhados. ## Descrição Network Share Access monitora o acesso a compartilhamentos de rede (SMB/CIFS, NFS), capturando quem acessou qual share, de onde e quais operações realizou. É um data component crítico para detectar movimentação lateral via admin shares (`C
, `ADMIN
, `IPC
), coleta de dados em servidores de arquivos compartilhados, propagação de ransomware para drives de rede e reconhecimento de compartilhamentos acessíveis. O acesso a `IPC
é pré-requisito para diversas técnicas de execução remota no Windows. ## Fonte de Dados Parent: [[ds0033-network-share|DS0033 - Network Share]] ## Pipeline de Detecção ```mermaid graph TB A["🗂️ Event ID 5140<br/>Share Acessado"] --> B["🔍 Share + Usuário<br/>+ IP de Origem"] B --> C{"⚠️ Admin Share<br/>Acessado?"} C -->|C$ / ADMIN$| D["🚨 Alerta P1<br/>Admin Share Acesso"] C -->|IPC$| E{"🔗 Contexto de<br/>Execução Remota?"} E -->|PsExec/WMI| F["🚨 Alerta P1<br/>Movimento Lateral"] E -->|Isolado| G["📋 Monitorar<br/>Contexto"] C -->|Share Regular| H{"📊 Volume de<br/>Arquivos Acessados?"} H -->|Alto Volume| I["🟧 Alerta P2<br/>Ransomware/Coleta"] H -->|Normal| J["✔️ Acesso<br/>Legítimo"] classDef p1 fill:#e74c3c,color:#ecf0f1 classDef p2 fill:#e67e22,color:#ecf0f1 classDef ok fill:#2ecc71,color:#2c3e50 classDef proc fill:#2c3e50,color:#ecf0f1 class D,F p1 class G,I p2 class J ok class A,B,C,E,H proc ``` ## O Que Monitorar - Windows Event ID 5140 (Compartilhamento de rede acessado) - Windows Event ID 5145 (Objeto em compartilhamento de rede verificado) - Acesso a admin shares (`C
, `ADMIN
, `IPC
) de workstations comuns - Volume alto de acesso a arquivos em compartilhamentos (ransomware propagation) - Acesso a compartilhamentos de servidores críticos por contas incomuns - Mapeamento de múltiplos compartilhamentos por uma conta em curto período (enumeração) - Acesso em horários não comerciais a dados de negócio sensíveis - Conexões a `\\computername\ADMIN
precedidas por PsExec ou similar ## Técnicas Detectadas | Técnica | ID | Como Detectar | |---------|-----|---------------| | SMB/Windows Admin Shares | [[t1021-remote-services\|T1021.002]] | Acesso a `C
ou `ADMIN
de hosts externos ao DC | | Data from Network Shared Drive | [[t1039-data-from-network-shared-drive\|T1039]] | Alto volume de leitura de arquivos em file servers | | Network Share Discovery | [[t1135-network-share-discovery\|T1135]] | Enumeração rápida de múltiplos shares (Event 5140) | | Data Encrypted for Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Modificações em massa de arquivos em shares de rede | ## Implementação **Habilitar auditoria de acesso a compartilhamentos:** ``` Computer Configuration > Windows Settings > Security Settings > Advanced Audit Policy > Object Access > Audit File Share (ou Detailed File Share para nível de arquivo) ``` **SIEM - detectar acesso a admin shares:** ``` index=windows EventCode=5140 | where ShareName="\\\\*\\Cquot; OR ShareName="\\\\*\\ADMINquot; | stats count by SubjectUserName, IpAddress, ShareName | where SubjectUserName!="SYSTEM" ``` **Honeypot de share:** Criar share de alto valor falso (`\\server\Financeiro-Confidencial`) e alertar qualquer acesso. **Ferramentas:** Windows Event Log, Microsoft Sentinel, Splunk, Varonis Data Security Platform, Netwrix Auditor, CrowdStrike Falcon. ## Consultas KQL — Microsoft Sentinel / Defender ### Acesso a Admin Shares - Movimento Lateral ```kql // DC0029 - Acesso a admin shares C$ e ADMIN$ por hosts que não são DCs SecurityEvent | where TimeGenerated > ago(1d) | where EventID == 5140 | where ShareName in~ (@"\\*\Cquot;, @"\\*\ADMINquot;, @"\\*\IPCquot;) | where SubjectUserName !endswith "quot; // Excluir contas de máquina | where SubjectUserName !in~ ("SYSTEM", "ANONYMOUS LOGON") | summarize access_count = count(), target_servers = make_set(Computer, 10), first_seen = min(TimeGenerated), last_seen = max(TimeGenerated) by SubjectUserName, IpAddress, ShareName | where access_count > 1 or target_servers != "" | order by access_count desc ``` ### Ransomware em Shares - Alto Volume de Modificações ```kql // DC0029 - Alto volume de modificações em shares de rede (padrão ransomware) SecurityEvent | where TimeGenerated > ago(1h) | where EventID == 5145 | where AccessList has "WriteData" or AccessList has "DELETE" | summarize files_modified = count(), unique_shares = dcount(ShareName), file_list = make_set(RelativeTargetName, 20) by SubjectUserName, IpAddress, bin(TimeGenerated, 5m) | where files_modified > 100 or unique_shares > 3 | order by files_modified desc ``` ## Contexto LATAM > [!latam] Relevância Regional > **Propagação via compartilhamentos de rede é o mecanismo central de disseminação de ransomware em empresas brasileiras.** Em grandes ataques ao Brasil documentados em 2024 (setor de manufatura, varejo e governo), os grupos **RansomHub** e **Black Basta** utilizaram admin shares SMB para copiar e executar ransomware em dezenas de servidores simultaneamente após comprometimento do primeiro host. File servers com grandes volumes de dados compartilhados são alvos prioritários — especialmente `\\servidor\Financeiro`, `\\servidor\RH` e `\\servidor\Backup`. A criação de **honeypot shares** (shares falsos com dados atraentes mas monitorados) é uma técnica de baixo custo altamente eficaz para detectar adversários em fase de reconhecimento em ambientes corporativos brasileiros. ## Referências - [MITRE ATT&CK - DS0033 Network Share](https://attack.mitre.org/datasources/DS0033/) - [Windows Event ID 5140 - Microsoft](https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/event-5140) - [SMB Share Monitoring - Varonis](https://www.varonis.com/blog/) - [Ransomware Network Propagation - Sophos X-Ops](https://news.sophos.com/en-us/category/threat-research/)