det0530-multi-event-detection-for-smb-admin-share-lateral-movement

# DET0530 — Multi-Event Detection for SMB Admin Share Lateral Movement ## Descrição O movimento lateral via compartilhamentos administrativos SMB ([[t1021-002-smb-windows-admin-shares|T1021.002 — SMB/Windows Admin Shares]]) é uma das técnicas de movimentação mais comuns em ambientes Windows corporativos, amplamente utilizada por ransomware, APTs e red teams. Os shares administrativos padrão (`ADMIN

, `C

, `IPC

) permitem que administradores acessem remotamente o sistema de arquivos e executem código via ferramentas como `PsExec`, `SCM` (Service Control Manager), WMI e `Impacket`. O padrão de ataque típico envolve: autenticação no share, criação/cópia de serviço ou executável, execução remota e, por fim, limpeza dos artefatos. A detecção multi-evento correlaciona uma cadeia de eventos que individualmente podem parecer legítimos, mas juntos formam um padrão inequívoco de movimento lateral: (1) autenticação remota bem-sucedida no share `ADMIN

ou `C

(Event ID 5140), (2) criação de arquivo executável no share (Event ID 4663 + 4656), (3) criação de serviço remoto (Event ID 7045 no host destino), (4) execução do serviço (Event ID 4697) e (5) exclusão do serviço (Event ID 7036). Ferramentas como `PsExec` e `Impacket smbexec` geram este padrão característico de 5 eventos em sequência. A linha de base comportamental é crítica — administradores legítimos acessam shares com credenciais conhecidas em horários esperados. Alertas devem ser priorizados quando o acesso ao share é feito por contas de usuário (não service accounts), de hosts que normalmente não gerenciam outros hosts, especialmente fora do horário comercial. A correlação com eventos de autenticação Kerberos/NTLM anômalos (técnicas de [[t1550-use-alternate-authentication-material|pass-the-hash]]) eleva significativamente a confiança do alerta. ## Indicadores de Detecção - Event ID 5140 (acesso a share de rede) para `ADMIN

ou `C

por conta de usuário comum (não service account) - Criação de arquivo `.exe` ou `.bat` em `\\<host>\ADMIN$\Temp\` (Event ID 4663) por sessão remota - Event ID 7045 (novo serviço instalado) no host destino correlacionado com acesso SMB remoto nos segundos anteriores - Sequência: 5140 → 4663 → 7045 → 4697 → 7036 no mesmo host dentro de janela temporal de 5 minutos - Acesso a `IPC

seguido imediatamente de `ADMIN

ou `C

do mesmo host de origem (padrão PsExec/Impacket) - Criação de serviço com nome aleatório ou curto (< 8 caracteres) por conta remota ## Técnicas Relacionadas - [[t1021-002-smb-windows-admin-shares|T1021.002 — SMB/Windows Admin Shares]] — técnica principal coberta por esta estratégia - [[t1550-002-pass-the-hash|T1550.002 — Pass the Hash]] — autenticação via NTLM hash para acessar shares - [[t1569-002-service-execution|T1569.002 — Service Execution]] — execução de código via serviço criado remotamente - [[t1021-remote-services|T1021 — Remote Services]] — família ampla de técnicas de movimento lateral - [[T1077-windows-admin-shares|T1077 — Windows Admin Shares]] — acesso direto a shares administrativos ## Analytics Relacionadas - [[an1468-analytic-1468|AN1468 — Analytic 1468]] --- *Fonte: [MITRE ATT&CK — DET0530](https://attack.mitre.org/detectionstrategies/DET0530)*