dc0054-drive-access

# DC0054 — Drive Access ## Descrição Drive Access (DC0054) registra eventos de acesso a volumes de armazenamento — incluindo drives locais, dispositivos USB, drives de rede mapeados e armazenamento em nuvem sincronizado. Este componente captura o momento em que um processo abre ou interage com um drive como unidade, distinto do acesso a arquivos individuais coberto pelo [[dc0055-file-access|DC0055 — File Access]]. O acesso a drives removíveis por processos incomuns é um indicador forte de [[t1025-data-from-removable-media|coleta de dados de mídia removível]] ou [[t1052-exfiltration-over-physical-medium|exfiltração por mídia física]]. Em ambientes corporativos, ferramentas de staging de dados frequentemente enumeraram drives disponíveis antes de iniciar a coleta — esse padrão de descoberta de drives por ferramentas não-interativas é detectável via este componente. O acesso direto ao raw disk (bypass do sistema de arquivos) por processos não pertencentes ao SO é especialmente suspeito e pode indicar tentativas de leitura de dados protegidos, acesso a áreas de boot ou extração de dados que bypass controles de DRM. Este padrão é capturado pelo Sysmon Event ID 9 (RawAccessRead) e deve acionar alertas de alta prioridade. Em ataques de ransomware, o acesso sistemático a todos os drives disponíveis (incluindo compartilhamentos de rede mapeados) precede a fase de criptografia — tornando este componente valioso para detecção de ransomware em estágios iniciais. ## Telemetria | Plataforma | Fonte | Event ID / Evento | Informações Capturadas | |------------|-------|-------------------|------------------------| | Windows | Sysmon | Event ID 9 — RawAccessRead | Processo, device alvo, tipo de acesso raw | | Windows | Windows Security | Event ID 4656 | Solicitação de handle para volume (com SACL) | | Windows | Windows Security | Event ID 6416 | Dispositivo de armazenamento reconhecido pelo PnP | | Linux | auditd | syscall: `open` em `/dev/sd*`, `/dev/nvme*` | Acesso raw a dispositivos de bloco | | Linux | udev | `udevadm monitor --subsystem-match=block` | Eventos de acesso a dispositivo de bloco | | macOS | Unified Log | Disk Arbitration / IOKit | Acesso a volumes montados | | macOS | OpenBSM | `AUE_OPEN_R*` em `/dev/disk*` | Acesso a dispositivos de disco | ## Queries de Detecção **KQL (Microsoft Sentinel / Defender)** ```kql // Acesso raw a disco por processos não-sistema — alto risco DeviceEvents | where ActionType == "RawDiskRead" | where not(InitiatingProcessFileName in~ ( "MsMpEng.exe", "svchost.exe", "System", "smss.exe", "csrss.exe", "wininit.exe", "winlogon.exe" )) | project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessFolderPath, InitiatingProcessCommandLine | order by Timestamp desc ``` **SPL (Splunk)** ```spl index=sysmon EventCode=9 | where NOT match(Image, "(?i)(System|smss\.exe|csrss\.exe|wininit|winlogon|svchost|MsMpEng)") | stats count by Image, Device, host | sort - count ``` ## Técnicas Relacionadas - [[t1025-data-from-removable-media|T1025 — Data from Removable Media]] — acesso e coleta de dados de dispositivos removíveis - [[t1052-exfiltration-over-physical-medium|T1052 — Exfiltration Over Physical Medium]] — uso de drives físicos para exfiltrar dados coletados - [[t1039-data-from-network-shared-drive|T1039 — Data from Network Shared Drive]] — acesso a drives de rede mapeados para coleta - [[t1005-data-from-local-system|T1005 — Data from Local System]] — coleta de dados de volumes locais ## Contexto LATAM > [!info] Acesso a Drives em Ataques Brasileiros > Em investigações de resposta a incidentes no Brasil, o acesso a drives de rede mapeados (Z:, Y:, etc.) por processos como `cmd.exe`, `powershell.exe` e ferramentas de compressão (7-zip, WinRAR) é um padrão frequente em staging de dados antes de exfiltração. Monitore especialmente o acesso a drives de backup mapeados por processos fora do horário comercial. Correlacione com [[t1039-data-from-network-shared-drive|Data from Network Shared Drive]] e eventos de compressão de arquivos para detecção completa da cadeia de staging. ## Referências - [MITRE ATT&CK — DS0016 Drive](https://attack.mitre.org/datasources/DS0016/) - [Sysmon Event ID 9 — RawAccessRead](https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon) - [T1025 — Data from Removable Media](https://attack.mitre.org/techniques/T1025/)