det0471-detection-of-tainted-content-written-to-shared-storage

# DET0471 — Detection of Tainted Content Written to Shared Storage ## Descrição Adversários que comprometeram um sistema com acesso a armazenamento compartilhado (compartilhamentos de rede SMB, NFS, SharePoint, OneDrive, repositórios Git compartilhados, buckets S3 com acesso de escrita) podem usar essas estruturas para distribuir conteúdo malicioso a outros sistemas que confiam e consomem arquivos desses repositórios. Esse vetor de movimento lateral é eficaz porque os sistemas receptores frequentemente tratam conteúdo de fontes internas como confiável. Táticas incluem substituir executáveis legítimos em compartilhamentos de rede por versões trojanizadas, inserir macros maliciosas em documentos Office compartilhados, adicionar scripts maliciosos a repositórios de código-fonte, e colocar arquivos `.lnk` ou `.url` maliciosos em diretórios acessados por múltiplos usuários. Em ambientes de desenvolvimento, a contaminação de repositórios Git compartilhados pode comprometer pipelines de CI/CD inteiros. A detecção requer monitoramento de escrita em locais de armazenamento compartilhado críticos, verificação de integridade de arquivos executáveis em compartilhamentos (comparação de hash com baseline), e alertas sobre substituição de arquivos bem conhecidos por versões com hashes diferentes. ## Indicadores de Detecção - Arquivo executável (PE/ELF/script) em compartilhamento de rede com hash divergindo do baseline estabelecido - Escrita em compartilhamento de rede seguida de acesso por múltiplos sistemas em curto período - Documento Office (`.docx`, `.xlsx`, `.xlsm`) com macro adicionada a arquivo que anteriormente não tinha macros - Arquivo `.lnk` ou `.url` criado em pasta compartilhada apontando para recurso externo ou de IP suspeito - Substituição de binário em pasta de distribuição de software interno (SCCM, Intune shares) por processo não autorizado - Evento de escrita em bucket S3 ou blob Azure por identity não pertencente ao pipeline de públicação autorizado ## Técnicas Relacionadas - [[t1080-taint-shared-content|T1080 — Taint Shared Content]] - [[T1021002-smb-windows-admin-shares|T1021.002 — SMB/Windows Admin Shares]] - [[T1195002-compromise-software-supply-chain|T1195.002 — Compromise Software Supply Chain]] - [[T1566001-spearphishing-attachment|T1566.001 — Spearphishing Attachment]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1036-masquerading|T1036 — Masquerading]] ## Analytics Relacionadas - [[an1298-analytic-1298|AN1298 — Analytic 1298]] - [[an1299-analytic-1299|AN1299 — Analytic 1299]] - [[an1300-analytic-1300|AN1300 — Analytic 1300]] - [[an1301-analytic-1301|AN1301 — Analytic 1301]] - [[an1302-analytic-1302|AN1302 — Analytic 1302]] --- *Fonte: [MITRE ATT&CK — DET0471](https://attack.mitre.org/detectionstrategies/DET0471)*