t1070-005-network-share-connection-removal

# T1070.005 - Network Share Connection Removal ## Técnica Pai Sub-técnica de [[t1070-indicator-removal|T1070 - Indicator Removal]], que agrupa métodos usados por adversários para eliminar evidências de suas operações em sistemas e redes comprometidos. ## Descrição Adversários removem conexões de compartilhamento de rede que não são mais necessárias para limpar os rastros de suas operações. Conexões com compartilhamentos Windows e [[Windows Admin Shares]] ficam registradas no sistema operacional como unidades mapeadas e entradas no Registro, revelando para analistas forenses quais hosts foram acessados durante a intrusão. Ao desmontar essas conexões de forma deliberada e imediata após o uso, o adversário elimina um conjunto importante de indicadores de comprometimento: entradas no Registro de drives mapeados, logs de eventos de rede (IDs 5140, 5145 no Windows), e artefatos no histório de shell e ferramentas de administração. Esta técnica está intimamente ligada à [[t1021-002-smbwindows-admin-shares|movimentação lateral via SMB]], sendo frequentemente executada como etapa de cobertura de rastros logo após a exfiltração de dados ou instalação de ferramentas em sistemas remotos. O utilitário nativo `net use` é o vetor mais comum, tornando a detecção difícil por se tratar de uma ferramenta legítima do sistema operacional. ## Como Funciona **Mecanismo principal - `net use`:** O comando `net use \\sistema\compartilhamento /delete` remove a conexão SMB ativa e apaga o mapeamento persistente da unidade de rede. Variantes incluem `net use * /delete` (remove todas as conexões ativas) e parâmetros adicionais para suprimir confirmações interativas (`/y`). **Artefatos removidos pela técnica:** - Chaves de Registro em `HKCU\Network\` (drives mapeados persistentes) - Entradas em `HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\` - Eventos no Log de Segurança do Windows (IDs 5140 - Network Share Object Accessed, 5145 - Network Share Object Checked) - Entradas na tabela de sessões SMB visível via `net session` **Ferramentas e métodos alternativos:** - PowerShell: `Remove-SmbMapping` e `Remove-PSDrive` - WMI: manipulação de classes `Win32_NetworkConnection` - Ferramentas de pós-exploração como o módulo `net` do [[s0154-cobalt-strike|Cobalt Strike]] e comandos equivalentes no [[metasploit|Metasploit]] - Malwares como [[s0260-invisimole|InvisiMole]] e [[s0400-robbinhood|RobbinHood]] incorporam a remoção de compartilhamentos como rotina automática de limpeza pós-execução **Por que é eficaz:** A remoção de conexões SMB é uma operação administrativa legítima e cotidiana em ambientes corporativos Windows, tornando o sinal extremamente ruidoso em ambientes com muitas estações de trabalho. Sem correlação temporal com outros eventos de movimentação lateral, a remoção isolada raramente dispara alertas. ## Attack Flow ```mermaid graph TB A[Adversário com acesso inicial ao host] --> B[Movimentação lateral via SMB Admin Shares] B --> C[Execução de tarefas no host remoto] C --> D{Tipo de operação} D --> E[Exfiltração de dados via compartilhamento] D --> F[Implantação de ferramentas no host remoto] D --> G[Execução de ransomware em múltiplos hosts] E --> H[Remoção da conexão SMB com net use /delete] F --> H G --> H H --> I[Chaves de Registro de drives mapeados removidas] H --> J[Logs de sessão SMB suprimidos] I --> K[Análise forense dificultada] J --> K K --> L[Origem da movimentação lateral obscurecida] ``` ## Exemplos de Uso **Threat Group-3390 (APT27 / Emissary Panda) - Espionagem contra Defesa e Tecnologia:** O [[g0027-threat-group-3390|Threat Group-3390]], grupo APT chinês, utilizou remoção de compartilhamentos de rede como parte de seu playbook de limpeza de rastros em campanhas contra contratantes de defesa, empresas de tecnologia e entidades governamentais. Após acessar compartilhamentos administrativos (`C

, `ADMIN

) para transferir ferramentas e exfiltrar dados, o grupo sistematicamente removia as conexões usando `net use` antes de encerrar as sessões remotas. **RobbinHood Ransomware - Ataques a Municípios Américanos:** O [[s0400-robbinhood|RobbinHood]] incorporou a remoção de conexões de rede como etapa do processo de propagação e pré-criptografia. Antes de iniciar a criptografia dos arquivos, o malware desconectava compartilhamentos de rede para isolar o host e evitar que ferramentas de monitoramento remoto identificassem o vetor de entrada. O ataque ao condado de Baltimore (2019) é um caso documentado onde essa técnica foi empregada. **DUSTTRAP - Campanha de Espionagem contra Organizações Governamentais:** O [[s1159-dusttrap|DUSTTRAP]], implante documentado pela Google Threat Intelligence, executava remoção automática de conexões SMB como parte de sua rotina de limpeza, tornando extremamente difícil para analistas reconstruir o mapa de movimentação lateral durante investigações de resposta a incidentes. **InvisiMole - Operações de Espionagem de Longo Prazo:** O [[s0260-invisimole|InvisiMole]], malware operado pelo grupo Gamaredon e possívelmente por outros atores russos, implementa remoção de compartilhamentos como módulo dedicado de anti-forense, integrando-se ao ciclo de vida completo da operação para garantir persistência sem detecção. ## Detecção ```yaml title: Remoção de Conexão de Compartilhamento de Rede via net use status: experimental logsource: category: process_creation product: windows detection: selection: Image|endswith: '\net.exe' CommandLine|contains|all: - 'use' - '/delete' condition: selection falsepositives: - Administradores de TI removendo drives mapeados manualmente - Scripts de logoff de estações de trabalho level: medium tags: - attack.defense_evasion - attack.t1070.005 ``` ```yaml title: Remoção em Massa de Conexões SMB status: experimental logsource: category: process_creation product: windows detection: selection: Image|endswith: '\net.exe' CommandLine|contains|all: - 'use' - '*' - '/delete' condition: selection falsepositives: - Scripts de limpeza de ambiente em laboratórios e VDIs level: high tags: - attack.defense_evasion - attack.t1070.005 ``` ```yaml title: Remoção de Mapeamento SMB via PowerShell status: experimental logsource: category: process_creation product: windows detection: selection: Image|endswith: '\powershell.exe' CommandLine|contains: - 'Remove-SmbMapping' - 'Remove-PSDrive' condition: selection falsepositives: - Scripts de gerenciamento de drives mapeados por times de infraestrutura level: medium tags: - attack.defense_evasion - attack.t1070.005 ``` ## Mitigação Não há mitigações MITRE ATT&CK mapeadas diretamente para esta sub-técnica, pois a remoção de conexões SMB é uma operação administrativa legítima. A estratégia de defesa deve se concentrar em detecção compensatória: | Abordagem | Descrição | |-----------|-----------| | Logging centralizado de eventos SMB | Encaminhar eventos de ID 5140 e 5145 para SIEM em tempo real. Logs armazenados localmente podem ser apagados; logs remotos são preservados independentemente da ação no endpoint. | | Correlação temporal | Alertar quando remoção de conexão SMB ocorre imediatamente após conexão com compartilhamento administrativo (`C

, `ADMIN

, `IPC

). A jánela de tempo entre conexão e remoção em operações maliciosas é tipicamente inferior a 60 segundos. | | Baseline de comportamento | Estabelecer baseline de frequência de `net use /delete` por usuário e host. Desvios estatísticos significativos - especialmente em horários fora do expediente - indicam atividade suspeita. | | Monitoramento de [[m1026-privileged-account-management\|contas privilegiadas]] | Conexões SMB com compartilhamentos administrativos por contas não-administradoras ou por contas administrativas em horários anômalos merecem investigação imediata. | ## Contexto Brasil/LATAM A técnica T1070.005 é amplamente utilizada no ecossistema de ameaças que afeta o Brasil e a América Latina, com manifestações específicas ao contexto regional: **Ransomware como Serviço (RaaS) no Brasil:** Grupos de ransomware com operações documentadas no Brasil - como [[lockbit|LockBit]], [[black-basta|Black Basta]] e [[play-ransomware|Play]] - incorporam a remoção de conexões SMB como parte padronizada dos playbooks de afiliados. A etapa é especialmente crítica em redes corporativas brasileiras, onde compartilhamentos administrativos do Windows estão frequentemente expostos na rede interna sem segmentação adequada. **Ataques a Órgãos Governamentais:** Incidentes documentados contra prefeituras, tribunais (STJ - 2020) e autarquias federais brasileiras seguiram padrão consistente de movimentação lateral via SMB seguida de remoção de rastros, dificultando a atribuição e a reconstrução da cadeia de ataque pelas equipes de resposta a incidentes. **Infraestrutura de TI Legada:** Muitas organizações brasileiras - especialmente no setor público e em empresas de médio porte - operam com Windows Server em versões que não habilitam auditoria avançada de SMB por padrão. Sem logging adequado, a remoção de conexões deixa lacunas forenses que impedem a reconstrução completa do incidente. **Relevância para o [[g0027-threat-group-3390|Threat Group-3390]]:** O APT27 tem histórico documentado de interesse em empresas brasileiras de tecnologia e entidades governamentais com acesso a propriedade intelectual de interesse estratégico para a China, tornando essa técnica diretamente relevante para o panorama de ameaças nacionais. ## Referências - MITRE ATT&CK - T1070.005 (versão 16.2) - FireEye/Mandiant - Threat Group-3390 Threat Actor Profile - CISA - RobbinHood Ransomware Technical Analysis - Google Threat Intelligence - DUSTTRAP Malware Analysis (2024) - ESET Research - InvisiMole: The Hidden Part of the Story *Fonte: MITRE ATT&CK - T1070.005*