dc0042-drive-creation

# DC0042 — Drive Creation ## Descrição Drive Creation (DC0042) monitora a criação ou montagem de novos volumes de armazenamento em um sistema — incluindo a inserção de dispositivos USB, mapeamento de drives de rede, montagem de imagens ISO, criação de drives virtuais e integração de armazenamento em nuvem. Este componente é fundamental para detectar vetores de entrada física e tentativas de exfiltração por mídia removível. A criação de um drive representa o momento em que um novo vetor de acesso a dados torna-se disponível para o sistema. Adversários exploram este ponto de duas formas principais: como vetor de entrada (inserindo USB com malware para [[t1091-replication-through-removable-media|Replication Through Removable Media]]) ou como vetor de saída (conectando dispositivos de armazenamento para exfiltrar dados via [[t1052-exfiltration-over-physical-medium|Exfiltration Over Physical Medium]]). Em ambientes corporativos brasileiros, o controle de dispositivos USB é frequentemente neglicenciado, tornando este componente especialmente relevante. Operações de espionagem corporativa e ataques direcionados a ambientes isolados (air-gapped) utilizam mídia removível como vetor primário. O monitoramento de Drive Creation deve ser correlacionado com o inventário de dispositivos aprovados (allowlist) para reduzir falsos positivos. A criação de drives de rede (mapeamento de shares SMB/NFS) também é relevante para detectar [[t1021-remote-services|movimento lateral]] e acesso não autorizado a recursos compartilhados em redes corporativas. ## Telemetria | Plataforma | Fonte | Event ID / Evento | Informações Capturadas | |------------|-------|-------------------|------------------------| | Windows | Windows Security | Event ID 6416 | Novo dispositivo de armazenamento externo reconhecido | | Windows | System Log | Event ID 7045 | Serviço instalado por dispositivo (driver USB) | | Windows | System Log | Event ID 4003 | Dispositivo USB conectado (requer auditoria de PnP) | | Windows | Sysmon | Event ID 9 — RawAccessRead | Acesso de leitura ao volume após montagem | | Linux | udev / journald | `udevadm monitor` | Evento de conexão de dispositivo de bloco | | Linux | auditd | `mount` syscall | Montagem de volumes e parâmetros | | macOS | Unified Log | Disk Arbitration (`diskarbitrationd`) | Montagem de volumes, UUID, tipo de filesystem | | macOS | System Preferences | DiskMounted event | Detalhes do dispositivo conectado | ## Queries de Detecção **KQL (Microsoft Sentinel / Defender)** ```kql // Detecção de novos dispositivos USB / drives externos DeviceEvents | where ActionType == "UsbDriveMounted" or ActionType == "PnpDeviceConnected" | where AdditionalFields has_any ("USB", "Removable", "Mass Storage") | project Timestamp, DeviceName, LoggedOnUsers, AdditionalFields | order by Timestamp desc ``` **SPL (Splunk)** ```spl index=wineventlog EventCode=6416 | rex field=Message "Class Name:\s+(?<class_name>[^\r\n]+)" | rex field=Message "Device Description:\s+(?<device_desc>[^\r\n]+)" | where match(class_name, "(?i)(usb|disk|storage|media)") | stats count by host, class_name, device_desc, _time | sort - _time ``` ## Técnicas Relacionadas - [[t1052-exfiltration-over-physical-medium|T1052 — Exfiltration Over Physical Medium]] — uso de drives físicos para exfiltrar dados - [[t1025-data-from-removable-media|T1025 — Data from Removable Media]] — coleta de dados de mídia removível conectada - [[t1091-replication-through-removable-media|T1091 — Replication Through Removable Media]] — propagação de malware via USB - [[t1200-hardware-additions|T1200 — Hardware Additions]] — inserção de hardware malicioso (USB drop attacks) ## Contexto LATAM > [!tip] Controle de Dispositivos USB no Brasil > Ataques com dispositivos USB ("USB drop attacks") continuam sendo um vetor relevante em ambientes industriais e órgãos governamentais brasileiros, especialmente em infraestruturas críticas com redes isoladas. O monitoramento de Drive Creation deve ser complementado por políticas de DLP (Data Loss Prevention) e controle de dispositivos via GPO ou soluções como Microsoft Defender for Endpoint. Em ambientes de [[energy|energia]] e [[government|governo]], considere bloquear dispositivos USB não autorizados por padrão e auditar todas as exceções. ## Referências - [MITRE ATT&CK — DS0016 Drive](https://attack.mitre.org/datasources/DS0016/) - [Windows Event ID 6416 — PnP Device Connected](https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=6416) - [T1091 — Replication Through Removable Media](https://attack.mitre.org/techniques/T1091/)