# T1039 - Data from Network Shared Drive
## Descrição
Adversários que já estabeleceram presença em uma rede corporativa frequentemente varrrem **drives de rede compartilhados** em busca de dados de alto valor antes de iniciar a exfiltração. Servidores de arquivos, compartilhamentos SMB, NFS e soluções como SharePoint on-premises são alvos privilegiados porque concentram documentos críticos de toda a organização: contratos, projetos, dados financeiros, propriedade intelectual e configurações de infraestrutura.
Diferentemente da coleta de dados em endpoints individuais ([[t1005-data-from-local-system|T1005]]), o acesso a drives de rede oferece ao adversário uma visão transversal de toda a organização a partir de um único ponto comprometido. Em ambientes corporativos brasileiros, é comum encontrar compartilhamentos SMB sem autenticação granular, com permissões amplas herdadas desde implementações legadas - especialmente em PMEs e órgãos públicos que operam com infraestrutura defasada.
No contexto **Brasil e LATAM**, esta técnica é parte central das operações do [[g1039-redcurl|RedCurl]] - grupo de espionagem corporativa que realizou múltiplas campanhas contra empresas brasileiras de setores como jurídico, financeiro e manufatura, extraindo documentos internos de compartilhamentos de rede. O [[g0047-gamaredon|Gamaredon Group]] e o [[g0007-apt28|APT28]] também utilizam essa técnica em operações de espionagem que impactam organizações com presença regional. Grupos de ransomware ativos no Brasil, como operadores de [[s0554-egregor|Egregor]], mapeiam e exfiltram compartilhamentos de rede sistematicamente antes de acionar a criptografia - maximizando alavancagem em negociações de dupla extorsão.
> **Tática:** [[collection|Collection]]
---
## Attack Flow
```mermaid
graph TB
A([Acesso Inicial<br/>T1566 / T1190]) --> B([Movimento Lateral<br/>T1021.002 SMB])
B --> C([Descoberta de Rede<br/>T1135 - Network Share Discovery])
C --> D{T1039\nColeta em Drive de Rede}:::highlight
D --> E([Varredura de Arquivos<br/>cmd / PowerShell / robocopy])
E --> F([Seleção por Extensão<br/>.docx / .xlsx / .pdf / .key])
F --> G([Staging<br/>T1074 - Data Staged])
G --> H([Exfiltração<br/>T1048 / T1071])
classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b,stroke-width:2px
```
---
## Como Funciona
### Passo 1 - Enumeração de Compartilhamentos de Rede
Após obter acesso a um sistema na rede, o adversário executa comandos de enumeração para mapear todos os shares acessíveis. Ferramentas nativas como `net view`, `net use` e `Get-SmbShare` (PowerShell) são usadas sem necessidade de ferramentas externas. Em ambientes Windows, o protocolo SMB expõe automaticamente todos os shares visíveis na sub-rede. Scripts automatizados varrem faixas de IP em busca de portas 445/TCP abertas, identificando servidores de arquivo e NAS corporativos.
```cmd
net view \\servidor-arquivo01
net use Z: \\servidor-arquivo01\Documentos
dir Z:\ /s /b | findstr /i ".docx .xlsx .pdf .ppt"
```
### Passo 2 - Coleta Seletiva por Tipo de Arquivo e Palavra-chave
Com acesso montado ao compartilhamento, o adversário filtra arquivos por extensão (`.docx`, `.xlsx`, `.pdf`, `.pst`, `.key`, `.rdp`, `.config`) e/ou por palavras-chave de interesse estratégico (`contrato`, `proposta`, `senha`, `vpn`, `backup`). Ferramentas como `robocopy` permitem cópia recursiva e seletiva sem levantar alertas em soluções de AV tradicionais. Em organizações com grandes volumes de dados, o adversário prioriza diretórios como `\Financeiro`, `\Jurídico`, `\RH`, `\Projetos`.
### Passo 3 - Staging e Preparação para Exfiltração
Os arquivos coletados são consolidados em um diretório de staging - frequentemente uma pasta temporária em disco local ou em outro share acessível - onde passam por compressão ([[t1560-002-archive-via-library|T1560.002]]) e possível criptografia antes da exfiltração. O staging pode ocorrer em um sistema comprometido com saída para internet ou em um servidor de salto já controlado pelo adversário. Grupos de ransomware como os operadores de [[s0554-egregor|Egregor]] frequentemente exfiltram terabytes de dados de compartilhamentos antes de acionar o payload de criptografia.
---
## Detecção
### Event IDs Relevantes
| Plataforma | Evento | Descrição |
|------------|--------|-----------|
| Windows | Event ID `5140` | Acesso a objeto de compartilhamento de rede (Network Share Object Accessed) |
| Windows | Event ID `5145` | Acesso a objeto de arquivo em compartilhamento de rede com detalhes de permissão |
| Windows | Event ID `4663` | Tentativa de acesso a objeto (arquivo/pasta) - requer SACL configurado |
| Windows | Event ID `4624` / `4648` | Logon em conta de rede / logon com credenciais explícitas para acesso a share |
| Windows (Sysmon) | Event ID `1` | Execução de `robocopy`, `xcopy`, `net use` com argumentos de UNC path |
| Windows (Sysmon) | Event ID `3` | Conexão de rede na porta 445/TCP em volume anormal |
| Linux / NFS | `/var/log/samba/` | Acesso a shares Samba com alto volume de leitura de arquivos |
### Sigma Rule - Acesso em Massa a Compartilhamento SMB
```yaml
title: Acesso em Massa a Compartilhamento de Rede SMB
id: c9d4e5f2-3a7b-4c8e-b2d1-5f8a9e3c7b2d
status: experimental
description: >
Detecta acesso a um grande volume de arquivos em compartilhamentos de rede
SMB por um único usuário ou processo em curto intervalo de tempo.
Comportamento típico de T1039 - coleta em drives de rede antes de exfiltração.
Particularmente relevante para detecção de ransomware e espionagem corporativa.
logsource:
product: windows
service: security
detection:
selection:
EventID:
- 5145
- 4663
ObjectType: 'File'
AccessMask|contains:
- '0x1' # ReadData
- '0x80' # ReadAttributes
filter_system:
SubjectUserName|endswith: '