dc0040-file-deletion

# DC0040 — File Deletion ## Descrição File Deletion (DC0040) captura eventos onde arquivos são removidos de um sistema ou dispositivo de armazenamento. Embora deleção de arquivos sejá uma atividade legítima e cotidiana, adversários frequentemente a utilizam para cobrir rastros, eliminar evidências forenses e remover ferramentas após uso — uma técnica categorizadas no MITRE ATT&CK como [[t1070-indicator-removal|Indicator Removal on Host]]. A deleção intencional de logs, artefatos de malware, ferramentas de post-exploitation e arquivos de staging é um comportamento comum em operações de intrusão sofisticadas. Grupos de ransomware como [[lockbit|LockBit]] e [[alphv-ransomware|ALPHV]] frequentemente deletam shadow copies e backups antes da fase de criptografia, tornando este componente crítico para detecção pré-impacto. Além da limpeza de rastros, a deleção massiva de arquivos pode indicar atividade de [[t1485-data-destruction|Data Destruction]] — uma técnica destrutiva usada em operações de sabotagem. No contexto forense, a deleção de arquivos sem sobrescrita ainda deixa evidências recuperáveis no filesystem, o que torna este componente valioso mesmo em investigações pós-incidente. O monitoramento eficaz requer correlação entre o evento de deleção, o processo responsável e o contexto temporal — deleções em lote por processos incomuns em horários atípicos devem acionar alertas de alta prioridade. ## Telemetria | Plataforma | Fonte | Event ID / Evento | Informações Capturadas | |------------|-------|-------------------|------------------------| | Windows | Sysmon | Event ID 23 — FileDelete (arquivo deletado, arquivado) | Processo, caminho, hash antes da deleção | | Windows | Sysmon | Event ID 26 — FileDeleteDetected | Detecção sem arquivamento | | Windows | Windows Security | Event ID 4660 | Objeto deletado (requer SACL configurada) | | Windows | Windows Security | Event ID 4663 | Acesso ao objeto com flag DELETE | | Linux | auditd | syscall: `unlink`, `unlinkat`, `rmdir` | UID, PID, caminho, resultado | | macOS | Endpoint Security Framework | `ES_EVENT_TYPE_NOTIFY_UNLINK` | Processo, caminho do arquivo deletado | | macOS | OpenBSM auditd | `AUE_UNLINK`, `AUE_RMDIR` | PID, euid, caminho | ## Queries de Detecção **KQL (Microsoft Sentinel / Defender)** ```kql // Deleção em massa de arquivos — possível ransomware ou destruição DeviceFileEvents | where ActionType == "FileDeleted" | summarize DeleteCount = count(), Files = make_set(FileName, 20) by DeviceName, InitiatingProcessFileName, bin(Timestamp, 5m) | where DeleteCount > 50 | order by DeleteCount desc ``` **SPL (Splunk)** ```spl index=sysmon EventCode=23 OR EventCode=26 | eval deleted_path=TargetFilename | where match(deleted_path, "(?i)(\\logs\\|evtx|\.bak|shadow|vssadmin)") | stats count by Image, deleted_path, host, _time | sort - _time ``` ## Técnicas Relacionadas - [[t1070-indicator-removal|T1070 — Indicator Removal on Host]] — remoção de artefatos para dificultar investigação forense - [[t1485-data-destruction|T1485 — Data Destruction]] — deleção massiva de dados para causar impacto operacional - [[t1561-disk-wipe|T1561 — Disk Wipe]] — limpeza completa de discos em operações destrutivas - [[t1036-masquerading|T1036 — Masquerading]] — deleção de arquivos legítimos substituídos por maliciosos ## Contexto LATAM > [!warning] Padrão Observado em Ransomware no Brasil > Operações de ransomware direcionadas ao Brasil frequentemente incluem a deleção de Volume Shadow Copies (`vssadmin delete shadows /all /quiet`) e logs do Windows Event Log (`wevtutil cl`) antes ou durante a fase de criptografia. Monitorar deleções de arquivos `.evtx`, `.vhd`, `.bak` e chamadas ao `vssadmin.exe` ou `wbadmin.exe` é crítico para detectar ransomware no estágio pré-criptografia. Organizações do [[financial|setor financeiro]] e [[government|governo]] brasileiro devem configurar alertas de alta prioridade para estes padrões. ## Referências - [MITRE ATT&CK — DC0040 File Deletion](https://attack.mitre.org/datasources/DS0022/#File%20Deletion) - [Sysmon Event ID 23/26 — FileDelete](https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon) - [T1070.004 — File Deletion](https://attack.mitre.org/techniques/T1070/004/)