det0182-behavior-chain-detection-for-t1135-network-share-discovery-across-window

# DET0182 — Behavior-chain detection for T1135 Network Share Discovery across Windows, Linux, and macOS ## Descrição Esta estratégia detecta a enumeração de compartilhamentos de rede por adversários durante a fase de descoberta — mapeada para [[T1135 — Network Share Discovery]]. A técnica é amplamente usada após comprometimento inicial para identificar compartilhamentos SMB, NFS e WebDAV que podem conter dados sensíveis ou servir como vetor de movimento lateral. A abordagem é baseada em cadeia de comportamentos: correlaciona a execução de ferramentas de enumeração (`net view`, `net share`, `smbclient`, `showmount`) com o contexto do processo pai, horário e frequência. No Windows, eventos de autenticação Kerberos e NTLM em massa para hosts de rede múltiplos em curto intervalo são indicadores fortes. No Linux/macOS, chamadas `mount` e `smbclient` por processos não-administrativos merecem aténção. A estratégia cobre as três plataformas com analytics específicos por SO. No Windows, correlaciona eventos 4624/4625 (logon/falha) com execução de `net.exe`. No Linux, monitora comandos `showmount -e` e acesso a `/proc/net/dev`. No macOS, rastreia uso de `sharing` e AppleScript para enumeração de rede. ## Indicadores de Detecção - `net view /all` ou `net view \\<host>` em sequência rápida a múltiplos hosts - `net share` executado por processos não-administrativos ou contas de serviço - `smbclient -L` seguido de tentativas de montagem em múltiplos alvos - `showmount -e` executado por usuário não-root em Linux - Consultas WMI `Win32_Share` por processos inesperados - Múltiplos eventos de autenticação SMB (445/TCP) para diferentes hosts em < 60s - Execução de `Invoke-ShareFinder` ou módulos PowerSploit relacionados ## Técnicas Relacionadas - [[t1135-network-share-discovery|T1135 — Network Share Discovery]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1039-data-from-network-shared-drive|T1039 — Data from Network Shared Drive]] - [[t1083-file-and-directory-discovery|T1083 — File and Directory Discovery]] ## Analytics Relacionadas - [[an0513-analytic-0513|AN0513 — Analytic 0513]] - [[an0514-analytic-0514|AN0514 — Analytic 0514]] - [[an0515-analytic-0515|AN0515 — Analytic 0515]] --- *Fonte: [MITRE ATT&CK — DET0182](https://attack.mitre.org/detectionstrategies/DET0182)*