# DET0410 — Detection Strategy for Data from Network Shared Drive ## Descrição A coleta de dados a partir de drives de rede compartilhados é uma técnica de exfiltração interna em que adversários, após estabelecerem presença na rede, percorrem e coletam dados de shares SMB/NFS acessíveis — frequentemente usando credenciais legítimas comprometidas. Essa técnica é especialmente eficaz em ambientes corporativos onde shares de rede centralizam documentos financeiros, propriedade intelectual e dados de clientes. A detecção foca em padrões anômalos de acesso a shares: um único usuário ou host acessando um volume incomum de arquivos em múltiplos shares em curto intervalo, especialmente se fora do horário normal de trabalho. Logs de auditoria de acesso a objetos do Windows (Event ID 5140 — share acessado, 5145 — arquivo em share acessado) são a fonte primária, mas requerem habilitação explícita de auditoria. Ransomware como [[lockbit]], [[blackcat]] e grupos de espionagem como [[g0045-apt10|apt10]] regularmente coletam dados de shares antes da criptografia ou exfiltração. A correlação entre mapeamento de shares (comandos `net use`, `net view`) e posterior acesso massivo a arquivos, seguido de transferência de rede, representa uma cadeia de detecção de alta fidelidade para essa técnica. ## Indicadores de Detecção - Acesso a mais de N arquivos em shares de rede em menos de X minutos por uma única conta (limiar baseado em baseline) - Event ID 5140/5145 com usuário acessando shares não mapeados previamente em sua sessão normal - Execução de `net use`, `net view` ou `Get-SmbShare` por processos não administrativos - Tráfego SMB de saída de estações de trabalho para múltiplos servidores de arquivos em sequência - Compressão de dados (ZIP, RAR) em diretórios temporários correlacionada com listagem de shares ## Técnicas Relacionadas - [[t1039-data-from-network-shared-drive|T1039 — Data from Network Shared Drive]] - [[t1083-file-and-directory-discovery|T1083 — File and Directory Discovery]] - [[T1021002-smb-windows-admin-shares|T1021.002 — SMB/Windows Admin Shares]] - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] ## Analytics Relacionadas - [[an1145-analytic-1145|AN1145 — Analytic 1145]] - [[an1146-analytic-1146|AN1146 — Analytic 1146]] - [[an1147-analytic-1147|AN1147 — Analytic 1147]] --- *Fonte: [MITRE ATT&CK — DET0410](https://attack.mitre.org/detectionstrategies/DET0410)*