# T1213.002 - Sharepoint ## Descrição Adversários exploram repositórios **SharePoint** como fonte primária de coleta de inteligência interna durante operações de acesso autorizado ou pós-comprometimento. O SharePoint é amplamente adotado por organizações brasileiras - especialmente em setores financeiro, governo e saúde - como plataforma central de gestão do conhecimento corporativo, tornando-o um alvo de alto valor. Uma vez com acesso legítimo (via credenciais comprometidas, [[t1078-valid-accounts|contas válidas]], ou tokens de autenticação roubados), o adversário pode navegar, buscar e exfiltrar documentos sensíveis sem necessidade de explorar vulnerabilidades adicionais. A técnica se enquadra na fase de **Collection** e frequentemente precede [[t1041-exfiltration-over-c2-channel|exfiltração por canal C2]] ou compressão de dados via [[t1560-archive-collected-data|T1560]]. No Brasil, grupos como [[g1004-lapsus|LAPSUS$]] demonstraram como repositórios colaborativos corporativos - incluindo SharePoint e Confluence - podem conter credenciais de desenvolvimento, diagramas de rede e código-fonte de sistemas críticos. O [[g0125-silk-typhoon|HAFNIUM]] utilizou acesso ao SharePoint Online para coletar informações de pesquisa em instituições acadêmicas e de saúde na América do Norte e Ásia, padrão replicável em universidades e hospitais brasileiros. **Tipos de dados frequentemente encontrados:** - Políticas de segurança, procedimentos internos e normas regulatórias (LGPD, BACEN, ANS) - Diagramas físicos e lógicos de rede interna - Arquiteturas de sistemas e documentação técnica - Credenciais de teste e desenvolvimento (ver [[t1552-unsecured-credentials|T1552 - Unsecured Credentials]]) - Cronogramas de projetos e contratos com fornecedores - Trechos de código-fonte e scripts de automação - Links para compartilhamentos de rede e recursos internos > **Técnica pai:** [[t1213-data-from-information-repositories|T1213 - Data from Information Repositories]] --- ## Attack Flow ```mermaid graph TB A([Acesso Inicial]) --> B[Credenciais<br/>Comprometidas<br/>T1078] B --> C[Autenticação<br/>SharePoint<br/>Online/On-Prem] C --> D:::highlight[T1213.002<br/>Mineração<br/>SharePoint] D --> E[Busca por<br/>Documentos<br/>Sensíveis] E --> F[Download em<br/>Massa / spwebmember] F --> G[Compressão<br/>T1560] G --> H([Exfiltração<br/>T1041]) classDef highlight fill:#e74c3c,color:#fff ``` --- ## Como Funciona **Passo 1 - Autenticação e reconhecimento inicial** O adversário autentica-se no SharePoint usando credenciais válidas obtidas via [[t1566-phishing|phishing]], [[t1110-brute-force|força bruta]] ou reutilização de senhas. Em ambientes Microsoft 365, tokens OAuth roubados eliminam a necessidade de senha. O adversário explora a interface web ou APIs Graph para mapear sites, bibliotecas e permissões disponíveis. **Passo 2 - Busca e seleção de documentos de alto valor** Utilizando a busca nativa do SharePoint ou ferramentas como [[s0227-spwebmember|spwebmember]], o adversário realiza queries por palavras-chave sensíveis: `password`, `credencial`, `vpn`, `diagrama`, `backup`, `deploy`. Arquivos `.docx`, `.xlsx`, `.pdf` e `.ps1` são priorizados. Em ambientes brasileiros, termos como `senha`, `certificado`, `banco de dados` e `LGPD` são indicadores de documentos críticos. **Passo 3 - Exfiltração em lote** Documentos selecionados são baixados via API REST do SharePoint, interface web ou ferramentas automatizadas. O volume pode chegar a gigabytes em poucas horas sem disparar alertas de DLP configurados apenas por tipo de arquivo. A exfiltração ocorre geralmente via HTTPS, dificultando a detecção por inspeção de tráfego. --- ## Detecção ### Event IDs Relevantes | Plataforma | Event ID | Descrição | |------------|----------|-----------| | Microsoft 365 Unified Audit Log | `FileDownloaded` | Download de arquivo do SharePoint | | Microsoft 365 Unified Audit Log | `SearchQueryPerformed` | Busca realizada no SharePoint | | Microsoft 365 Unified Audit Log | `FileAccessed` | Acesso a arquivo (sem download) | | Microsoft 365 Unified Audit Log | `SiteCollectionAdminAdded` | Elevação de permissão em site collection | | Windows Security | 4624 | Logon bem-sucedido (correlacionar com acesso ao SP) | | Azure AD Sign-In | - | Logon de localização geográfica incomum | ### Sigma Rule ```yaml title: SharePoint Mass Document Download - Possible Data Staging id: a4f3e201-9b7c-4d2a-bb18-e5c6d0f12345 status: experimental description: > Detecta downloads em massa de documentos do SharePoint por um único usuário em curto período, possível indicativo de coleta maliciosa (T1213.002). author: RunkIntel daté: 2026-03-24 references: - https://attack.mitre.org/techniques/T1213/002 logsource: product: m365 service: audit detection: selection: Operation: - FileDownloaded - FileSyncDownloadedFull filter_normal: UserId|contains: - 'svc_' - 'backup' timeframe: 10m condition: selection and not filter_normal | count(ObjectId) by UserId > 50 falsepositives: - Migrações legítimas de conteúdo - Backup automatizado de sites - Usuários com perfil de download intenso conhecido level: medium tags: - attack.collection - attack.t1213.002 ``` --- ## Mitigação | ID | Controle | Implementação para Organizações Brasileiras | |----|----------|---------------------------------------------| | [[m1047-audit\|M1047 - Audit]] | Ativar Unified Audit Logging no Microsoft 365; reter logs por mínimo 90 dias (requisito BACEN/LGPD) | Exportar logs para SIEM - integrar com Splunk ou Microsoft Sentinel | | [[m1018-user-account-management\|M1018 - User Account Management]] | Aplicar princípio do menor privilégio; revisar permissões de site collections trimestralmente | Bloquear acesso de contas de serviço ao SharePoint de usuário | | [[m1017-user-training\|M1017 - User Training]] | Treinar usuários para não salvar credenciais, senhas ou chaves em documentos SharePoint | Programa de conscientização alinhado à [[lgpd\|LGPD]] | | DLP (Microsoft Purview) | Criar políticas DLP para detectar documentos com palavras-chave sensíveis sendo baixados em massa | Bloquear download de arquivos com padrões de CPF, CNPJ, senhas | | Conditional Access | Restringir acesso ao SharePoint a dispositivos gerenciados e localizações confiáveis | Bloquear acesso de países não operacionais via Azure AD Conditional Access | --- ## Threat Actors que Usam - **[[g1024-akira|Akira]]** - Grupo de ransomware ativo no Brasil desde 2023, utiliza acesso ao SharePoint para coletar documentos antes de encriptar; alvos incluem empresas de manufatura e logística brasileiras. - **[[g0125-silk-typhoon|HAFNIUM]]** - Grupo patrocinado pelo estado chinês; explorou SharePoint Online para coleta de pesquisa em instituições educacionais e de saúde. Padrão relevante para universidades e hospitais no Brasil. - **[[g1004-lapsus|LAPSUS$]]** - Grupo com membros brasileiros; roubou código-fonte e documentação interna via SharePoint e Confluence de empresas como Samsung, Nvidia e Microsoft. - **[[g0114-chimera|Chimera]]** - APT com foco em aviação e semicondutores; acessa repositórios SharePoint para mapear infraestrutura e coletar propriedade intelectual. - **[[g0007-apt28|APT28]]** - GRU russo; utiliza acesso a repositórios colaborativos para coleta de inteligência em organizações governamentais e de defesa. - **[[g0004-apt15|Ke3chang]]** - APT chinês focado em diplomacia e energia; coleta documentos de planejamento estratégico via SharePoint em organizações governamentais latino-americanas. ## Software Associado - **[[s0227-spwebmember|spwebmember]]** - Ferramenta legítima de administração SharePoint frequentemente abusada para download automatizado em lote de bibliotecas inteiras. Execução por usuários não-administradores em horários não-comerciais é indicador de comprometimento. --- *Fonte: [MITRE ATT&CK - T1213.002](https://attack.mitre.org/techniques/T1213/002)*