det0103-behavioral-detection-of-network-share-connection-removal-via-cli-and-smb

# DET0103 — Behavioral Detection of Network Share Connection Removal via CLI and SMB Disconnects ## Descrição Esta estratégia detecta remoção intencional de conexões de compartilhamento de rede como indicativo de cobertura de rastros pós-movimentação lateral ou exfiltração via SMB. Após copiar arquivos de shares de rede (`\\server\share`), adversários frequentemente executam `net use * /delete` ou `net use \\server\share /delete` para remover evidências da conexão mapeada dos logs e do sistema de arquivos. A telemetria principal inclui: Windows Event ID 5140 (acesso a compartilhamento de rede) seguido de 5141 (objeto de compartilhamento deletado) no mesmo host, execução de `net use /delete` por processos não-administrativos legítimos, e sessões SMB de curta duração (connect → copy → disconnect em <5 minutos) para múltiplos hosts em sequência. Logs de SMB server (Security Event 5140/5141/5142) nos servidores de destino complementam a visibilidade. O padrão de connect-copy-delete em múltiplos hosts em sequência curta é o indicador mais confiável de movimentação lateral automatizada. A correlação com criação de processos remotos (PsExec, WMI, WinRM) no mesmo timeframe aumenta a fidelidade. Grupos como [[g0016-apt29]] e operadores de ransomware como [[conti]] removem conexões SMB sistematicamente como parte de seu playbook de limpeza pós-operação. ## Indicadores de Detecção - Execução de `net use * /delete` ou `net use \\host\share /delete` após acesso a share de rede - Sequência de eventos: 5140 (acesso a share) → 5141 (delete) em intervalo <5 minutos no mesmo host - Sessões SMB de curta duração com alto volume de transferência seguidas de desconexão imediata - `net use /delete` executado por processo filho de ferramentas de ataque (Cobalt Strike, Metasploit) - Múltiplas conexões SMB para diferentes hosts em sequência rápida (<30 segundos entre cada) - Remoção de drives mapeados via `Remove-PSDrive` ou `[System.Net.NetworkCredential]` PowerShell ## Técnicas Relacionadas - [[t1070-indicator-removal]] — Remoção de indicadores de comprometimento - [[t1021002-remote-services-smb-windows-admin-shares]] — SMB para movimentação lateral - [[t1039-data-from-network-shared-drive]] — Coleta de dados de share antes da remoção - [[t1570-lateral-tool-transfer]] — Transferência lateral via SMB - [[t1083-file-and-directory-discovery]] — Discovery de arquivos em shares antes do delete ## Analytics Relacionadas - [[an0286-analytic-0286|AN0286 — Analytic 0286]] --- *Fonte: [MITRE ATT&CK — DET0103](https://attack.mitre.org/detectionstrategies/DET0103)*