dc0055-file-access

# DC0055 — File Access ## Descrição File Access (DC0055) registra eventos onde arquivos são abertos ou acessados para leitura, execução ou interação. Este componente é particularmente valioso para detectar acesso não autorizado a arquivos sensíveis — como credenciais armazenadas, configurações de sistema, dados de usuário e arquivos protegidos pelo SO. O acesso a arquivos de credenciais é um dos padrões mais críticos detectáveis por este componente. Adversários frequentemente tentam ler arquivos como `SAM`, `NTDS.dit`, `LSASS`, arquivos de browser com senhas salvas, arquivos `.env` com chaves de API, e arquivos de configuração de ferramentas de DevOps. A técnica [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] é diretamente coberta por este componente. O acesso em massa a múltiplos arquivos em curto período de tempo (bulk file access) é um padrão característico tanto de ransomware (que precisa enumerar e abrir arquivos para criptografar) quanto de ferramentas de staging de exfiltração. A velocidade e o volume de acessos são metadados importantes para correlação. Diferentemente da criação de arquivos, o monitoramento de acesso a arquivos gera volume muito maior de eventos, exigindo filtragem cuidadosa. Recomenda-se focar em diretórios de alto valor (System32, profiles de usuários, diretórios de configuração de aplicações críticas) e arquivos com extensões sensíveis (.key, .pem, .pfx, .kdbx, .config). ## Telemetria | Plataforma | Fonte | Event ID / Evento | Informações Capturadas | |------------|-------|-------------------|------------------------| | Windows | Windows Security | Event ID 4663 | Tentativa de acesso a objeto (requer SACL) | | Windows | Windows Security | Event ID 4656 | Solicitação de handle para objeto | | Windows | Sysmon | Event ID 11 — FileCreate | Combinado com leitura em sequência | | Linux | auditd | syscall: `open`, `openat` com flag `O_RDONLY` | UID, PID, caminho, resultado | | Linux | fanotify | `FAN_ACCESS` | Acesso a arquivos monitorados | | macOS | Endpoint Security Framework | `ES_EVENT_TYPE_NOTIFY_OPEN` | Processo, caminho, flags de acesso | | macOS | OpenBSM auditd | `AUE_OPEN_R`, `AUE_OPEN_RT` | PID, euid, caminho, resultado | ## Queries de Detecção **KQL (Microsoft Sentinel / Defender)** ```kql // Acesso a arquivos de credenciais e configurações sensíveis DeviceFileEvents | where ActionType == "FileRead" | where FileName has_any ("SAM", "NTDS.dit", "shadow", "passwd", "id_rsa", ".kdbx", ".pfx", "credentials", "secrets", ".env") or FolderPath has_any (@"System32\config", @"AppData\Roaming\Microsoft\Credentials") | where not(InitiatingProcessFileName in~ ("MsMpEng.exe", "svchost.exe")) | project Timestamp, DeviceName, InitiatingProcessFileName, FolderPath, FileName, InitiatingProcessCommandLine | order by Timestamp desc ``` **SPL (Splunk)** ```spl index=wineventlog EventCode=4663 | where match(ObjectName, "(?i)(\\sam$|ntds\.dit|\\shadow|id_rsa|\.kdbx|\.pfx|\.env|credentials)") | where NOT match(SubjectUserName, "(?i)(SYSTEM|DWM-|UMFD-)") | stats count by SubjectUserName, ObjectName, ProcessName, host, _time | sort - _time ``` ## Técnicas Relacionadas - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] — acesso a arquivos contendo credenciais não protegidas - [[t1005-data-from-local-system|T1005 — Data from Local System]] — coleta de dados sensíveis de arquivos locais - [[t1083-file-and-directory-discovery|T1083 — File and Directory Discovery]] — enumeração e acesso a arquivos durante fase de reconhecimento - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] — acesso a arquivos SAM, NTDS.dit e LSASS - [[t1555-credentials-from-password-stores|T1555 — Credentials from Password Stores]] — acesso a cofres de senhas de browsers e aplicações ## Contexto LATAM > [!danger] Roubo de Credenciais no Brasil > O acesso não autorizado a arquivos de credenciais é uma das técnicas mais prevalentes em ataques ao Brasil. Grupos de malware como [[s0531-grandoreiro|Grandoreiro]] e outros trojans bancários latino-americanos frequentemente acessam arquivos de perfil de browsers para roubar cookies de sessão e senhas salvas. Além disso, o acesso a arquivos `.key`, `.pem` e certificados digitais é crítico em ambientes que utilizam certificação ICP-Brasil. SOCs devem monitorar acesso a esses arquivos por qualquer processo que não sejá o browser ou ferramenta de gerenciamento correspondente. ## Referências - [MITRE ATT&CK — DS0022 File / File Access](https://attack.mitre.org/datasources/DS0022/#File%20Access) - [Windows Event ID 4663 — Object Access](https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4663) - [T1552 — Unsecured Credentials](https://attack.mitre.org/techniques/T1552/)