det0186-automated-file-and-api-collection-detection-across-platforms

# DET0186 — Automated File and API Collection Detection Across Platforms ## Descrição Esta estratégia detecta coleta automatizada de dados por malware — mapeada para [[T1119 — Automated Collection]]. Adversários automatizam a varredura e coleta de arquivos de interesse (documentos, credenciais, dados financeiros) e chamadas a APIs internas para exfiltrar informações em escala, frequentemente usando scripts ou ferramentas customizadas que operam em background. A detecção correlaciona padrões de acesso a arquivos em alta velocidade e volume, chamadas repetitivas a APIs de negócio fora do padrão de uso, e acesso a diretórios sensíveis por processos não-esperados. No Windows, auditoria de acesso a objetos (eventos 4663) em diretórios de documentos, e-mail e credenciais revela coleta anômala. Em ambientes Linux/macOS, `inotify` e logs de acesso a filesystem identificam varreduras automatizadas. Quatro analytics cobrem: coleta de arquivos Windows (acesso massivo a extensões .doc, .pdf, .xlsx), coleta via API interna (requisições em rafaga a endpoints de dados), coleta de arquivos Linux (find/grep em diretórios sensíveis), e coleta via scripts PowerShell/Python detectados por processo pai. ## Indicadores de Detecção - Processo acessando > 100 arquivos em < 60 segundos em diretórios de documentos - Padrão `Find-File` / `Get-ChildItem -Recurse` buscando extensões `.docx`, `.pdf`, `.kdbx`, `.key` - Chamadas em rafaga a APIs internas de RH, financeiro ou CRM por usuário/serviço único - Processo não-browser acessando perfis de credenciais do navegador (`Login Data`, `key4.db`) - Script Python/PowerShell iterando sobre compartilhamentos de rede coletando arquivos - Acesso a `/etc/passwd`, `/etc/shadow` ou diretórios SSH por processos não-padrão - Staging de arquivos coletados em diretório temporário antes de compressão/exfiltração ## Técnicas Relacionadas - [[t1119-automated-collection|T1119 — Automated Collection]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1039-data-from-network-shared-drive|T1039 — Data from Network Shared Drive]] - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] ## Analytics Relacionadas - [[an0531-analytic-0531|AN0531 — Analytic 0531]] - [[an0532-analytic-0532|AN0532 — Analytic 0532]] - [[an0533-analytic-0533|AN0533 — Analytic 0533]] - [[an0534-analytic-0534|AN0534 — Analytic 0534]] --- *Fonte: [MITRE ATT&CK — DET0186](https://attack.mitre.org/detectionstrategies/DET0186)*