det0022-detect-forced-smbwebdav-authentication-via-lure-files-and-outbound-ntlm

# DET0022 — Detect Forced SMB/WebDAV Authentication via lure files and outbound NTLM ## Descrição Esta estratégia detecta ataques de coerção de autenticação NTLM em que o adversário utiliza arquivos-isca (lure files) para forçar o sistema-alvo a autenticar-se contra um servidor controlado pelo atacante. Técnicas como SCF, LNK, URL, e arquivos `.library-ms` embutidos em compartilhamentos SMB ou acessíveis via WebDAV são usadas para capturar hashes NTLMv2, que podem ser retransmitidos (NTLM relay) ou crackeados offline. A telemetria de rede é o principal vetor de detecção: conexões SMB (porta 445) ou WebDAV (porta 80/443) de saída a partir de workstations para endereços externos ou incomuns, especialmente carregando pacotes de autenticação NTLM (`NTLMSSP` no payload), são fortes indicadores. Ferramentas como Responder, ntlmrelayx e Impacket são frequentemente associadas a este vetor de ataque. No host, a criação de arquivos `.lnk`, `.url`, `.scf` ou `.library-ms` em pastas compartilhadas, ou o carregamento de tais arquivos por processos como `explorer.exe` com destinos de rede suspeitos, complementa a detecção baseada em rede com contexto de endpoint. ## Indicadores de Detecção - Conexão SMB de saída (porta 445) de workstation para IP externo ou não-corporativo - Tráfego WebDAV contendo cabeçalho `Authorization: NTLM` em destinos não-aprovados - Criação de arquivos `.scf`, `.url`, `.lnk` em pastas compartilhadas de rede - Processo `explorer.exe` iniciando conexão SMB após abertura de pasta compartilhada - Evento Windows ID 4648 (logon explícito) com destino externo e autenticação NTLM - Tráfego saindo na porta 445 a partir de servidores que normalmente não se conectam a SMB externo - Presença de ferramentas de relay NTLM: `ntlmrelayx.py`, `Responder`, `MultiRelay` ## Técnicas Relacionadas - [[t1187-forced-authentication|T1187 — Forced Authentication]] - [[t1557-adversary-in-the-middle|T1557 — Adversary-in-the-Middle]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] ## Analytics Relacionadas - [[an0065-analytic-0065|AN0065 — Analytic 0065]] --- *Fonte: [MITRE ATT&CK — DET0022](https://attack.mitre.org/detectionstrategies/DET0022)*