det0370-recursive-enumeration-of-files-and-directories-across-privilege-contexts

# DET0370 — Recursive Enumeration of Files and Directories Across Privilege Contexts ## Descrição A enumeração recursiva de arquivos e diretórios é uma técnica de reconhecimento local onde o adversário mapeia sistematicamente o sistema de arquivos em busca de dados sensíveis: documentos financeiros, credenciais armazenadas, arquivos de configuração com senhas, backups, chaves SSH, certificados e dados de clientes. Ferramentas como `find`, `dir /s /b`, `Get-ChildItem -Recurse`, e scripts automatizados percorrem a árvore de diretórios cruzando contextos de privilégio, tentando acessar diretórios pertencentes a outros usuários ou processos de sistema. O padrão anômalo se distingue do uso legítimo por: volume de operações de leitura de diretório em curto período (dezenas de milhares de entradas em segundos), extensão do escopo de enumeração além da pasta de trabalho habitual do usuário, acesso a caminhos sensíveis como `C:\Users\*\AppData\`, `/home/*/.ssh/`, diretórios de backup e shares de rede, e correlação com posterior compressão/exfiltração dos dados coletados. Ferramentas de coleta pré-exfiltração como o módulo `post/multi/gather/enum_files` do [[Metasploit]] automatizam esse processo. A estratégia monitora Event ID 4656/4663 (acesso a objetos de arquivo) em volumes de anomalia, criação de processos com argumentos característicos de enumeração recursiva, e correlação com abertura sequencial de múltiplos arquivos de interesse (documentos, arquivos de senhas, certificados). ## Indicadores de Detecção - `find / -name "*.key" -o -name "*.pem"` ou `dir /s /b *.xlsx` executados por contas comuns - Volume de operações de listagem de diretório acima de 1.000 diretórios em 60 segundos - Acesso a `C:\Users\*\AppData\Roaming\` de múltiplos usuários por uma única conta - `Get-ChildItem -Recurse -Filter *.config` em PowerShell fora de contexto administrativo - Enumeração de diretórios do sistema (`/etc/`, `C:\Windows\System32\`) por processos de usuário - Criação de arquivo de índice/lista de arquivos seguida de compressão (indicativo de staging para exfiltração) ## Técnicas Relacionadas - [[t1083-file-and-directory-discovery|T1083 — File and Directory Discovery]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1119-automated-collection|T1119 — Automated Collection]] - [[T1074001-local-data-staging|T1074.001 — Local Data Staging]] - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] ## Analytics Relacionadas - [[an1040-analytic-1040|AN1040 — Analytic 1040]] - [[an1041-analytic-1041|AN1041 — Analytic 1041]] - [[an1042-analytic-1042|AN1042 — Analytic 1042]] - [[an1043-analytic-1043|AN1043 — Analytic 1043]] - [[an1044-analytic-1044|AN1044 — Analytic 1044]] --- *Fonte: [MITRE ATT&CK — DET0370](https://attack.mitre.org/detectionstrategies/DET0370)*