t1135-network-share-discovery

# T1135 - Network Share Discovery ## Descrição Após obter acesso a um sistema em uma rede corporativa, adversários frequentemente executam reconhecimento interno para identificar compartilhamentos de rede - pastas e drives disponíveis em outros sistemas via SMB, NFS ou AFP. Essa etapa de descoberta é crítica para mapear onde estão armazenados dados sensíveis como documentos financeiros, backups, credenciais salvas e propriedade intelectual, além de identificar sistemas de interesse para movimentação lateral subsequente. No Windows, o protocolo SMB é a base dos compartilhamentos de rede corporativos. O comando nativo `net view \\remotesystem` lista os compartilhamentos disponíveis em um host específico, enquanto `net share` exibe os compartilhamentos do sistema local. Adversários também usam `Get-SmbShare` via PowerShell e ferramentas como o [[s0192-pupy|Pupy]] para varredura automatizada de compartilhamentos em toda a sub-rede. Em macOS, o comando `sharing -l` lista pontos de compartilhamento SMB ativos. Em Linux, `smbclient -L` e `showmount -e` cumprem papel equivalente para SMB e NFS respectivamente. **Contexto Brasil/LATAM:** Em ambientes corporativos brasileiros, o uso de compartilhamentos de rede SMB para armazenamento de documentos financeiros, contratos e dados de RH é extremamente comum - e frequentemente mal configurado. Grupos como [[g1016-fin13|FIN13]], especializado em ataques ao setor financeiro mexicano e brasileiro, utilizam Network Share Discovery como etapa central de sua fase de reconhecimento interno. O [[g1043-blackbyte|BlackByte]] e o [[g1051-medusa-ransomware|Medusa Group]], ambos com registros de ataques a organizações brasileiras em 2024-2025, varreram compartilhamentos de rede antes de criptografar dados e exigir resgate. A falta de segmentação adequada e o excesso de permissões em compartilhamentos SMB amplificam o impacto desta técnica no contexto LATAM. ## Attack Flow ```mermaid graph TB A[Acesso Inicial] --> B[Execução & Persistência] B --> C["T1135<br/>Network Share Discovery"]:::highlight C --> D[Movimentação Lateral] D --> E[Coleta & Exfiltração] classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona ### 1. Preparação Com acesso a um host na rede interna, o adversário identifica o range de IPs da sub-rede local (via `ipconfig /all`, `arp -a` ou consultas ao DNS interno) e lista sistemas ativos. O objetivo é mapear a topologia da rede antes de iniciar a varredura de compartilhamentos. Em alguns casos, ferramentas de reconhecimento como [[s0192-pupy|Pupy]] e [[s0534-bazar|Bazar]] automatizam esta etapa, enviando resultados ao servidor C2 sem interação manual do atacante. ### 2. Execução O adversário executa a enumeração de compartilhamentos em cada host identificado: - **Windows:** `net view /all /domain`, `net view \\192.168.x.x`, `Get-SmbShare` - **Linux/macOS:** `smbclient -L //192.168.x.x -N`, `showmount -e 192.168.x.x` - **Ferramentas:** [[s0192-pupy|Pupy]], [[s1160-latrodectus|Latrodectus]] e [[conti|Conti]] incluem módulos de Network Share Discovery integrados Os resultados revelam não apenas os nomes dos compartilhamentos, mas também permissões configuradas - compartilhamentos acessíveis anonimamente ou com as credenciais já comprometidas são priorizados. ### 3. Pós-execução Com o mapa de compartilhamentos em mãos, o adversário prioriza os de maior valor (ex: `\\servidor\contabilidade`, `\\fileserver\backup`, `\\dc\SYSVOL`). O acesso ao SYSVOL em controladores de domínio pode revelar scripts de logon com credenciais hardcoded - padrão documentado em ambientes brasileiros mal configurados. Os compartilhamentos identificados alimentam as próximas fases: [[t1560-001-archive-via-utility|arquivamento de dados]], [[t1021-002-smb-windows-admin-shares|movimentação lateral via SMB]] e [[t1074-002-remote-data-staging|staging de dados para exfiltração]]. ## Detecção **Event IDs relevantes (Windows):** | Event ID | Fonte | Descrição | |----------|-------|-----------| | 5140 | Security | Network Share Object Access - acesso a compartilhamento de rede (habilitar via GPO) | | 5145 | Security | Network Share Object Access Check - verificação de acesso a arquivo/pasta em compartilhamento | | 4688 | Security | Process Creaté - `net.exe` com argumentos `view`, `share`, ou `use` | | 1 | Sysmon | Process Creaté - `net view`, `Get-SmbShare`, `smbclient` executados em sequência rápida | | 7045 | System | Serviço instalado - ferramentas de scanning instaladas como serviço | **Sigma Rule:** ```yaml title: Enumeração de Compartilhamentos de Rede (T1135) id: a4f8c2e1-7b3d-4a9f-8c2e-1b7d4a9f8c2e status: experimental description: Detecta uso de comandos e ferramentas nativos para enumeração de compartilhamentos de rede SMB, padrão associado à fase de descoberta interna. references: - T1135 logsource: category: process_creation product: windows detection: selection_net: Image|endswith: '\net.exe' CommandLine|contains: - 'view' - 'share' selection_powershell: Image|endswith: - '\powershell.exe' - '\pwsh.exe' CommandLine|contains: - 'Get-SmbShare' - 'Get-SmbConnection' - 'Get-FileShare' selection_wmic: Image|endswith: '\wmic.exe' CommandLine|contains: 'share' condition: 1 of selection_* timeframe: 2m falsepositives: - Scripts de inventário de TI e ferramentas de monitoramento legítimas - Equipes de helpdesk mapeando drives de rede level: medium tags: - attack.discovery - attack.t1135 ``` ## Mitigação | Controle | Mitigação | Recomendação Prática para Organizações Brasileiras | |----------|-----------|-----------------------------------------------------| | [[m1028-operating-system-configuration\|M1028 - Operating System Configuration]] | Configuração do sistema operacional | Desabilitar compartilhamentos administrativos desnecessários (C$, ADMIN$) em estações de trabalho via GPO. Restringir o acesso a compartilhamentos usando grupos do Active Directory com privilégio mínimo. | | Segmentação de rede | Isolamento de segmentos | Implementar VLANs e ACLs para impedir que estações de trabalho acessem diretamente compartilhamentos de servidores de outros segmentos. No Brasil, ambientes de varejo e financeiro frequentemente têm estações de PDV na mesma VLAN que servidores de arquivo - padrão de alto risco. | | Monitoramento SMB | Detecção de anomalias | Habilitar auditoria de acesso a objetos de compartilhamento (Event ID 5140/5145) no Windows. Alertar quando um único host acessa mais de 10 compartilhamentos distintos em menos de 5 minutos - padrão de varredura automatizada. | | Least Privilege | Controle de acesso | Revisar permissões de compartilhamentos SMB semestralmente. Remover grupos "Everyone" e "Domain Users" com acesso de leitura de compartilhamentos sensíveis. Implementar honeypot shares como armadilha para detectar varreduras. | | EDR | Detecção comportamental | Regras de correlação para detectar sequência: `net view` + acesso a múltiplos compartilhamentos + cópia de arquivos em volume anormal - padrão típico de pré-ransomware. | ## Threat Actors - [[g0131-tonto-team|Tonto Team]] - grupo chinês que usa Network Share Discovery como parte de reconhecimento interno em ataques a governos e think tanks; identificado em operações na América do Sul - [[g0087-apt39|APT39]] - grupo iraniano de espionagem que mapeia compartilhamentos de rede em busca de documentos de propriedade intelectual em empresas de telecomúnicações e tecnologia - [[g0105-darkvishnya|DarkVishnya]] - grupo que físicamente insere dispositivos na rede bancária e usa Network Share Discovery para localizar sistemas de processamento de pagamentos; altamente relevante para o setor financeiro brasileiro - [[g0050-apt32|APT32]] - grupo vietnamita (OceanLotus) que usa ferramentas customizadas para mapear compartilhamentos em organizações governamentais e empresas estrangeiras operando no Sudeste Asiático e LATAM - [[g0096-apt41|APT41]] - grupo chinês dual (espionagem + crime) que enumera compartilhamentos de rede como parte de campanhas de espionagem e como precursor de ataques de ransomware - [[g1051-medusa-ransomware|Medusa Group]] - grupo de ransomware com vítimas documentadas no Brasil que varre compartilhamentos SMB para identificar e criptografar dados críticos de negócio - [[g0114-chimera|Chimera]] - grupo que combina espionagem corporativa com táticas de ransomware, usando Network Share Discovery para localizar dados de propriedade intelectual em empresas de aviação e semicondutores - [[g0082-apt38|APT38]] - braço financeiro do Lazarus Group que usa enumeração de compartilhamentos para localizar sistemas de SWIFT e processamento financeiro em bancos; histórico de ataques a instituições financeiras brasileiras - [[g1043-blackbyte|BlackByte]] - grupo de ransomware com ataques confirmados a organizações brasileiras; usa Network Share Discovery para maximizar o impacto da criptografia e identificar backups - [[g1016-fin13|FIN13]] - grupo financeiramente motivado especializado em ataques a bancos e processadores de pagamento no México e Brasil; usa esta técnica para localizar sistemas de ponto de venda e dados de cartões ## Software Associado - [[badhatch|BADHATCH]] - implante sofisticado do grupo FIN8 com módulo de enumeração de compartilhamentos SMB para mapeamento de redes de varejo e hospitalar - [[s1180-blackbyte-ransomware|BlackByte Ransomware]] - inclui rotinas de varredura de compartilhamentos SMB para maximizar o alcance da criptografia em redes corporativas - [[s0458-ramsay|Ramsay]] - framework de espionagem projetado para operar em redes air-gapped; usa compartilhamentos de rede como vetor de propagação e coleta de dados - [[conti|Conti]] - ransomware com módulo nativo de Network Share Discovery que varreu compartilhamentos em centenas de vítimas, incluindo organizações brasileiras em 2021-2022 - [[s1244-medusa-ransomware|Medusa Ransomware]] - usa scripts PowerShell para enumeração massiva de compartilhamentos SMB antes de iniciar a fase de criptografia - [[s0192-pupy|Pupy]] - framework C2 open-source com módulo `net` para enumeração de compartilhamentos e sessões SMB ativas, frequentemente usado em testes de penetração e por grupos criminosos - [[s0534-bazar|Bazar]] - loader do grupo TrickBot/Conti que inclui funcionalidades de descoberta de rede e compartilhamentos como parte do reconhecimento inicial pós-comprometimento - [[s1160-latrodectus|Latrodectus]] - malware sucessor do IcedID com capacidades de Network Share Discovery integradas, em ascensão desde 2024 - [[cuba|Cuba]] - ransomware que usa enumeração de compartilhamentos para identificar servidores de arquivo e backups antes da criptografia dupla - [[s0236-kwampirs|Kwampirs]] - RAT do grupo Orangeworm especializado em sistemas de saúde; usa Network Share Discovery para localizar sistemas de imagiologia médica e prontuários eletrônicos --- *Fonte: [MITRE ATT&CK - T1135](https://attack.mitre.org/techniques/T1135)*