dc0039-file-creation

# DC0039 — File Creation ## Descrição File Creation (DC0039) é um componente de dados que monitora a criação de novos arquivos em sistemas locais ou armazenamentos de rede. Quando um processo cria um arquivo — sejá um documento, executável, script ou dado temporário — este evento pode ser capturado e correlacionado com a identidade do processo criador, o caminho de destino e o contexto do usuário. A criação de arquivos em diretórios sensíveis ou de alto risco é um indicador frequente de atividade maliciosa. Adversários utilizam a criação de arquivos para implantar malware, soltar payloads, escrever scripts de pós-exploração ou criar arquivos de configuração para persistência. Monitorar este componente permite identificar desde dropper de primeiro estágio até ferramentas de acesso remoto (RATs) sendo escritas em disco. No contexto do MITRE ATT&CK, File Creation está diretamente ligada à [[t1105-ingress-tool-transfer|Ingress Tool Transfer]], onde adversários transferem ferramentas para o sistema comprometido, e à [[t1566-phishing|Phishing]], onde documentos maliciosos são criados ou baixados como vetor de entrada. A telemetria de criação de arquivos, combinada com informações de processo pai e hash do arquivo, é uma das fontes de detecção mais ricas disponíveis para analistas de SOC. A eficácia desta telemetria depende da cobertura do agente de coleta: Sysmon no Windows (Event ID 11) oferece visibilidade granular com hash automático; no Linux, o auditd com regras para syscall `creat` e `open` com flag `O_CREAT` fornece cobertura equivalente. ## Telemetria | Plataforma | Fonte | Event ID / Evento | Informações Capturadas | |------------|-------|-------------------|------------------------| | Windows | Sysmon | Event ID 11 — FileCreate | Processo criador, caminho completo, hash (MD5/SHA256), timestamp | | Windows | Windows Security | Event ID 4663 | Acesso a objeto — criação via flag `FILE_ADD_FILE` | | Windows | Windows Security | Event ID 4656 | Solicitação de handle para objeto | | Linux | auditd | syscall: `creat`, `open` (O_CREAT) | UID, PID, caminho, resultado | | Linux | inotifywait / fanotify | `IN_CREATE` | Criação em diretórios monitorados | | macOS | Endpoint Security Framework | `ES_EVENT_TYPE_NOTIFY_CREATE` | Processo, caminho, flags | | macOS | OpenBSM auditd | `AUE_CREAT`, `AUE_OPEN_RWTC` | Caminho, PID, euid | ## Queries de Detecção **KQL (Microsoft Sentinel / Defender)** ```kql // Criação de arquivos executáveis em diretórios temporários DeviceFileEvents | where ActionType == "FileCreated" | where FileName endswith ".exe" or FileName endswith ".dll" or FileName endswith ".ps1" | where FolderPath has_any (@"C:\Users\", @"C:\Temp\", @"C:\Windows\Temp\", @"AppData\Local\Temp") | project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine, FolderPath, FileName, SHA256 | order by Timestamp desc ``` **SPL (Splunk)** ```spl index=sysmon EventCode=11 | where match(TargetFilename, "(?i)(\\temp\\|\\appdata\\local\\|\\users\\public\\)") | where match(TargetFilename, "(?i)\.(exe|dll|ps1|vbs|bat|hta|js)quot;) | stats count by Image, TargetFilename, Hashes, host | where count < 3 | sort - count ``` ## Técnicas Relacionadas - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] — transferência de ferramentas e payloads para o sistema comprometido - [[t1204-user-execution|T1204 — User Execution]] — usuário executa arquivo malicioso criado via phishing ou download - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] — scripts criados em disco para execução posterior - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] — arquivos codificados/ofuscados criados para evadir detecção - [[t1566-phishing|T1566 — Phishing]] — anexos maliciosos criados ou salvos como ponto de entrada ## Contexto LATAM > [!info] Relevância para SOCs Brasileiros > No Brasil, grupos como [[alphv-ransomware|ALPHV]], [[lockbit|LockBit]] e agentes de acesso inicial (IABs) frequentemente utilizam criação de arquivos em `%TEMP%` e `%APPDATA%` como estágio inicial. Monitorar criação de arquivos `.lnk`, `.hta` e documentos Office com macros em diretórios de download é especialmente relevante em ataques de phishing direcionados ao setor [[_sectors|financeiro]] e [[government|governo]]. O Sysmon com configuração da SwiftOnSecurity ou Olaf Hartong cobre este componente por padrão e é fortemente recomendado para organizações no Brasil com recursos limitados de EDR. ## Referências - [MITRE ATT&CK — DC0039 File Creation](https://attack.mitre.org/datasources/DS0022/#File%20Creation) - [Sysmon Event ID 11 — FileCreate](https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon) - [auditd — Monitoring File Creation on Linux](https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/sec-understanding_audit_log_files)