det0140-behavioral-detection-of-malicious-file-deletion

# DET0140 — Behavioral Detection of Malicious File Deletion ## Descrição Esta estratégia detecta deleção maliciosa de arquivos como parte de técnicas de indicator removal (T1070.004), onde adversários excluem ferramentas, logs, artefatos de staging e evidências de comprometimento para dificultar a investigação forense. A distinção entre deleção legítima e maliciosa reside no contexto: quem deletou, o quê, quando e logo após quais atividades. Os padrões de alta fidelidade incluem: deleção de executáveis logo após execução (dropper self-delete), remoção de arquivos de log do Windows (`%SystemRoot%\System32\winevt\Logs\`) por processo não-sistema, exclusão em massa de arquivos em caminhos de staging antes de exfiltração, e uso de ferramentas de deleção segura (`sdelete`, `cipher /w`, `wipe`) por conta não-administrativa. A telemetria inclui Sysmon Event ID 23 (FileDelete) e Event ID 26 (FileDeleteDetected), Windows Event ID 4663 com `AccessMask=DELETE`, e telemetria de EDR com contexto de processo pai/filho. A correlação temporal entre execução de ferramenta maliciosa e deleção subsequente do mesmo binário é o behavior-chain mais confiável. ## Indicadores de Detecção - Executável deletando a si mesmo logo após execução (autoremoval pattern) - Remoção de arquivos `.evtx` de log de eventos por processo diferente de Event Log service - `sdelete.exe`, `cipher /w` ou equivalente Linux (`shred`) executado por processo suspeito - Deleção em massa (>50 arquivos em <60s) em diretório de staging após atividade de rede - Arquivo criado em `%TEMP%` deletado dentro de 5 minutos após geração de tráfego de rede ## Técnicas Relacionadas - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1485-data-destruction|T1485 — Data Destruction]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1074-data-staged|T1074 — Data Staged]] ## Analytics Relacionadas - [[an0392-analytic-0392|AN0392 — Analytic 0392]] - [[an0393-analytic-0393|AN0393 — Analytic 0393]] - [[an0394-analytic-0394|AN0394 — Analytic 0394]] - [[an0395-analytic-0395|AN0395 — Analytic 0395]] --- *Fonte: [MITRE ATT&CK — DET0140](https://attack.mitre.org/detectionstrategies/DET0140)*