det0188-local-storage-discovery-via-drive-enumeration-and-filesystem-probing

# DET0188 — Local Storage Discovery via Drive Enumeration and Filesystem Probing ## Descrição Esta estratégia detecta a enumeração de drives locais e probing do sistema de arquivos durante a fase de descoberta — mapeada para [[T1083 — File and Directory Discovery]]. Adversários enumeram drives disponíveis, diretórios de usuário e estruturas de arquivos para identificar dados valiosos antes da coleta, usando tanto ferramentas nativas quanto chamadas diretas à API do sistema operacional. A detecção monitora padrões anômalos de acesso ao filesystem: varredura sistemática de múltiplos diretórios em sequência rápida, enumeração de drives via `fsutil fsinfo drives` ou `Get-PSDrive`, e chamadas a `FindFirstFile`/`FindNextFile` em volume e velocidade incomuns. Scripts PowerShell ou Python iterando `os.walk()` em diretórios de usuário são indicadores específicos. Quatro analytics cobrem plataformas distintas: enumeração de drives Windows (via WMI `Win32_LógicalDisk`), probing de filesystem Linux (`find`, `ls -laR`, `du`), macOS (`diskutil list`, `mdfind`), e cross-platform via scripts. A correlação com criação subsequente de arquivo de staging ou compressão indica coleta ativa em andamento. ## Indicadores de Detecção - `fsutil fsinfo drives` ou `Get-PSDrive` por processos não-administrativos - WMI query `SELECT * FROM Win32_LógicalDisk` por processo inesperado - `find / -name "*.pdf" -o -name "*.docx"` em sistemas Linux por shell não-interativa - `diskutil list` ou `mdfind` executados por processos de background no macOS - Acesso sequencial a `C:\Users\*\Documents\`, `\Desktop\`, `\AppData\` em alta velocidade - `dir /s /b` recursivo em múltiplos drives em curto intervalo de tempo - Script com `os.walk()` ou `glob.glob()` iterando sobre sistema de arquivos inteiro ## Técnicas Relacionadas - [[t1083-file-and-directory-discovery|T1083 — File and Directory Discovery]] - [[t1120-peripheral-device-discovery|T1120 — Peripheral Device Discovery]] - [[t1119-automated-collection|T1119 — Automated Collection]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] ## Analytics Relacionadas - [[an0536-analytic-0536|AN0536 — Analytic 0536]] - [[an0537-analytic-0537|AN0537 — Analytic 0537]] - [[an0538-analytic-0538|AN0538 — Analytic 0538]] - [[an0539-analytic-0539|AN0539 — Analytic 0539]] --- *Fonte: [MITRE ATT&CK — DET0188](https://attack.mitre.org/detectionstrategies/DET0188)*