# DC0102 — Network Share Access > [!info] Data Component MITRE ATT&CK > **ID:** DC0102 | **Fonte pai:** [[ds0033-network-share|DS0033 — Network Share]] | **Cobertura:** Abertura e acesso a compartilhamentos de rede (SMB/CIFS, NFS, DFS) ## Descrição Network Share Access registra o evento de abertura de um compartilhamento de rede — o momento em que um usuário ou processo conecta-se a um share SMB/CIFS, NFS ou DFS e acessa seu conteúdo. Os eventos primários no Windows são o **EID 5140** (compartilhamento de rede acessado) e o **EID 5145** (objeto dentro do compartilhamento acessado — verificação de permissão). Este componente é crítico para detectar três padrões de ataque distintos: (1) **Movimentação lateral** via SMB — adversários acessando compartilhamentos administrativos (`C, `ADMIN, `IPC) em outros hosts usando credenciais roubadas; (2) **Coleta de dados** — acesso em massa a shares de arquivos para exfiltração; e (3) **Ransomware** — varredura e criptografia de arquivos em shares de rede, detectável pelo volume anômalo de acessos em sequência. Grupos de ransomware como **LockBit**, **Black Basta** e **RansomHub** — altamente ativos no Brasil — consistentemente utilizam shares SMB para se propagar lateralmente pela rede antes de iniciar a criptografia. O padrão de acesso a `C e `ADMIN em múltiplos hosts em curto intervalo de tempo é a assinatura mais comum de ransomware em propagação. A correlação entre eventos EID 5140/5145 e eventos de autenticação (EID 4624/4625) é fundamental: acesso a shares precedido por autenticação com credenciais diferentes do usuário habitual do host indica possível uso de [[t1078-valid-accounts|T1078-valid-accounts]] (Pass-the-Hash, Pass-the-Ticket ou credenciais roubadas). ## Telemetria | Fonte | Evento / Log | Descrição | |-------|-------------|-----------| | Windows Security Log | **EID 5140** | Objeto de compartilhamento de rede acessado (share-level) | | Windows Security Log | **EID 5145** | Verificação de permissão em objeto dentro do compartilhamento | | Windows Security Log | **EID 5142** | Compartilhamento de rede adicionado | | Windows Security Log | **EID 5143** | Compartilhamento de rede modificado | | Windows Security Log | **EID 5144** | Compartilhamento de rede deletado | | Windows Security Log | **EID 4624** | Logon bem-sucedido (correlacionar com 5140 para src IP) | | Windows Security Log | **EID 4625** | Falha de logon (tentativas de acesso não autorizado) | | Sysmon | **EID 18** — PipeConnected | Conexão a named pipe (usado por SMB para IPC) | | Zeek (Bro) | **smb_files.log** / **smb_mapping.log** | Mapeamentos SMB e acessos a arquivos no nível de rede | | Microsoft Defender | **DeviceFileEvents** | Arquivos acessados em shares (correlação com processo) | | EDR (CrowdStrike) | **NetworkShareAccess** | Evento nativo de acesso a share com processo e usuário | | Velociraptor | **Windows.EventLogs.EvtxHunter** | Hunt de EID 5140/5145 em múltiplos endpoints simultaneamente | ## Queries de Detecção ### KQL — Microsoft Sentinel: Acesso a Shares Administrativos (Lateral Movement) ```kql SecurityEvent | where EventID == 5140 | where ShareName in ("\\\\*\\Cquot;, "\\\\*\\ADMINquot;, "\\\\*\\IPCquot;) | where SubjectUserName !endswith "quot; // excluir contas de computador | summarize AccessCount = count(), TargetHosts = make_set(Computer), ShareNames = make_set(ShareName) by SubjectUserName, IpAddress, bin(TimeGenerated, 1h) | where AccessCount > 5 or array_length(TargetHosts) > 2 | order by AccessCount desc ``` ### KQL — Sentinel: Ransomware — Volume Anômalo de Acessos a Shares ```kql SecurityEvent | where EventID == 5145 | where RelativeTargetName endswith_cs ".docx" or RelativeTargetName endswith_cs ".xlsx" or RelativeTargetName endswith_cs ".pdf" or RelativeTargetName endswith_cs ".jpg" | summarize FileCount = count(), UniqueShares = dcount(ShareName) by SubjectUserName, Computer, IpAddress, bin(TimeGenerated, 5m) | where FileCount > 200 | extend Alert = "Possível criptografia ransomware em shares" | order by FileCount desc ``` ### SPL — Splunk: Enumeração de Shares (Network Share Discovery) ```spl index=windows sourcetype=XmlWinEventLog:Security EventCode=5140 | stats dc(ShareName) as unique_shares, dc(Computer) as target_hosts, count as total_access by SubjectUserName, IpAddress | where unique_shares > 5 OR target_hosts > 3 | eval alert=case( target_hosts > 5, "CRÍTICO - Possível ransomware", unique_shares > 10, "ALTO - Enumeração de shares", true(), "MÉDIO - Acesso anômalo a shares" ) | table SubjectUserName, IpAddress, unique_shares, target_hosts, total_access, alert | sort - total_access ``` ### SPL — Splunk: Correlação de Acesso a Share com Pass-the-Hash ```spl index=windows sourcetype=XmlWinEventLog:Security (EventCode=4624 OR EventCode=5140) | transaction SubjectUserName, IpAddress maxspan=5m | where eventcount > 1 | search EventCode=4624 LogonType=3 AuthenticationPackageName="NTLM" | eval pth_risk="Possível Pass-the-Hash: Logon NTLM + Acesso SMB" | table _time, SubjectUserName, IpAddress, Computer, pth_risk | sort - _time ``` ## Técnicas Relacionadas | Técnica | Nome | Relevância | |---------|------|-----------| | [[T1021.002-remote-services-smb-windows-admin-shares]] | Remote Services: SMB/Windows Admin Shares | Técnica primária — acesso a C$, ADMIN$ para movimentação lateral | | [[t1039-data-from-network-shared-drive\|T1039-data-from-network-shared-drive]] | Data from Network Shared Drive | Coleta de dados de shares antes de exfiltração | | [[t1135-network-share-discovery\|T1135-network-share-discovery]] | Network Share Discovery | Enumeração de shares disponíveis na rede | | [[t1083-file-and-directory-discovery\|T1083-file-and-directory-discovery]] | File and Directory Discovery | Listagem de arquivos em shares para identificar alvos | | [[t1486-data-encrypted-for-impact\|T1486-data-encrypted-for-impact]] | Data Encrypted for Impact | Criptografia ransomware de arquivos em shares de rede | ## Contexto LATAM > [!warning] Relevância para Brasil e América Latina > Network Share Access é a telemetria mais diretamente ligada à propagação de **ransomware** no Brasil. Em incidentes de **LockBit** e **RansomHub** respondidos em organizações brasileiras dos setores [[financial]] e [[government]], o acesso anômalo a shares SMB precedeu a criptografia em média 2-4 horas — uma janela crítica de detecção. > > Organizações brasileiras com ambientes Active Directory devem: (1) habilitar auditoria de EID 5140/5145 em todos os servidores de arquivos; (2) configurar alertas para acesso a `C/`ADMIN por contas que não sejam de administradores autorizados; (3) segmentar shares por criticidade e monitorar acesso cross-segmento como indicador de comprometimento. O padrão de acesso a shares de múltiplos departamentos por uma única conta é sinal de alerta independente do volume. ## Referências - [MITRE ATT&CK — DC0102 Network Share Access](https://attack.mitre.org/datacomponents/DC0102) - [Windows Security Event ID 5140](https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/event-5140) - [Windows Security Event ID 5145](https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/event-5145) - [[ds0033-network-share|DS0033 — Network Share]] - [[T1021.002-remote-services-smb-windows-admin-shares|T1021.002 — SMB/Windows Admin Shares]] - [[_defenses|Hub de Defesas]] - [[_data-sources|Índice de Data Sources]]