det0301-removable-media-execution-chain-detection-via-file-and-process-activity

# DET0301 — Removable Media Execution Chain Detection via File and Process Activity ## Descrição Esta estratégia detecta a execução de payloads maliciosos a partir de mídias removíveis (pen drives, HDs externos, cartões SD), um vetor de ataque particularmente relevante em ambientes com redes segmentadas ou air-gapped onde a conectividade de internet é restrita. O [[s0603-stuxnet|Stuxnet]] é o exemplo mais icônico desta técnica, mas drives USB continuam sendo utilizados em campanhas modernas contra infraestrutura crítica e ambientes industriais (ICS/OT). A cadeia de detecção correlaciona: montagem de dispositivo removível (evento de Plug and Play) → acesso a arquivos executáveis na raiz do drive ou arquivos `.lnk` → spawn de processo filho a partir do path do dispositivo montado. Arquivos `autorun.inf` — embora desabilitados no Windows moderno — e atalhos `.lnk` com targets maliciosos são os vetores primários. O uso de `explorer.exe` como processo pai de execuções de mídia removível é um indicador de clique de usuário em arquivo do drive. Esta técnica é especialmente relevante para organizações do setor energético, governo e defesa no Brasil, onde o uso de mídias físicas para transferência de dados em redes isoladas é comum. [[g0007-apt28|APT28]] e grupos de espionagem industrial utilizaram drives USB em operações direcionadas a ambientes segregados. ## Indicadores de Detecção - Processo executado com path iniciando em letra de drive removível (E:, F:, G:) com pai `explorer.exe` - Arquivo `.lnk` em raiz de drive removível apontando para `%TEMP%` ou path de rede - Execução de script (`.bat`, `.ps1`, `.vbs`) diretamente de drive removível por `wscript.exe` ou `powershell.exe` - `autorun.inf` criado ou lido em drive removível (mesmo sem execução automática) - Cópia de arquivo executável de drive removível para `%APPDATA%` ou `%TEMP%` seguida de execução - Driver de dispositivo não assinado instalado após conexão de dispositivo USB ## Técnicas Relacionadas - [[t1091-replication-through-removable-media|T1091 — Replication Through Removable Media]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1052-exfiltration-over-physical-medium|T1052 — Exfiltration Over Physical Medium]] - [[t1025-data-from-removable-media|T1025 — Data from Removable Media]] ## Analytics Relacionadas - [[an0841-analytic-0841|AN0841 — Analytic 0841]] --- *Fonte: [MITRE ATT&CK — DET0301](https://attack.mitre.org/detectionstrategies/DET0301)*