# T1080 - Taint Shared Content ## Descrição **Taint Shared Content** é uma técnica de movimento lateral em que o adversário contamina conteúdo armazenado em locais compartilhados - como drives de rede (SMB/NFS), repositórios de código internos, SharePoint, OneDrive corporativo ou servidores de arquivos - para infectar outros usuários e sistemas que acessem esse conteúdo. Ao contrário de técnicas que requerem comunicação direta com o alvo, esta aproveita a confiança implícita que os usuários depositam em arquivos de fontes internas conhecidas. No contexto brasileiro e latino-americano, esse vetor é particularmente prevalente em empresas com servidores de arquivos Windows legados sem controle granular de permissões - realidade em muitas PMEs, escritórios de contabilidade, construtoras e órgãos públicos municipais. Grupos como [[g1039-redcurl|RedCurl]] (especializado em espionagem corporativa) e [[g0047-gamaredon|Gamaredon Group]] utilizam essa técnica para propagar implantes de forma silenciosa em redes internas sem acionar alertas de comportamento de rede. As três principais variantes são: 1. **Substituição/envenenamento de arquivos legítimos** - binários ou scripts existentes são modificados para incluir código malicioso no ponto de entrada original. 2. **Directory Share Pivot** - arquivos `.LNK` maliciosos são plantados em diretórios compartilhados, usando [[t1547-009-shortcut-modification|Shortcut Modification]] e [[t1564-001-hidden-files-and-directories|Hidden Files and Directories]] para executar malware de forma transparente. 3. **Infecção de repositórios de código** - código malicioso é inserido em repositórios Git internos ou sistemas de build (CI/CD), contaminando compilações e distribuindo o implante para todos os desenvolvedores que puxam o repositório. --- ## Attack Flow ```mermaid graph TB A([Acesso à Rede<br/>Interna]) --> B[Identifica<br/>compartilhamentos SMB/NFS] B --> C[Enumera arquivos<br/>de alto acesso] C --> D{{"T1080<br/>Taint Shared Content<br/>fill:#e74c3c,color:#fff"}} D --> E1[Injeta código<br/>em binários existentes] D --> E2[Planta .LNK<br/>malicioso + oculta orig.] D --> E3[Contamina repo<br/>de código/CI-CD] E1 & E2 & E3 --> F[Usuário legítimo<br/>acessa arquivo] F --> G([Execução do<br/>payload no novo host]) style D fill:#e74c3c,color:#fff ``` --- ## Como Funciona **Passo 1 - Enumeração e seleção do compartilhamento alvo** O adversário mapeia compartilhamentos de rede acessíveis com `net view`, `Get-SmbShare` ou ferramentas de enumeração como [[s0521-bloodhound|BloodHound]] e [[seatbelt|Seatbelt]]. Prioriza diretórios com alto tráfego de acesso - pastas de templates de documentos, shares de instaladores de software, drives de projetos compartilhados entre departamentos - pois maximizam a probabilidade de que um novo usuário acesse o conteúdo contaminado rapidamente. **Passo 2 - Contaminação do conteúdo compartilhado** O método escolhido depende do tipo de conteúdo disponível: - **Binários e DLLs**: o adversário usa técnicas de prepend/append para inserir shellcode no início ou fim do binário legítimo, modificando o Original Entry Point (OEP) com um `JMP` para o código malicioso, que depois redireciona para o OEP original - tornando o arquivo funcional e transparente ao usuário. - **Arquivos .LNK**: cria atalhos que executam `cmd /c malware.exe && explorer.exe <pasta_real>` - o usuário vê a pasta esperada abrir normalmente enquanto o payload é executado em background. - **Scripts e macros**: insere código malicioso em scripts `.BAT`, `.VBS`, `.PS1` ou em templates do Office (`.dotm`, `.xltm`) armazenados no share. **Passo 3 - Propagação silenciosa e reinfecção** Uma vez que o primeiro usuário acessa o conteúdo contaminado e tem seu sistema infectado, o malware frequentemente replica o comportamento - escaneando shares acessíveis no novo host e contaminando mais arquivos. Isso cria uma cadeia de reinfecção que se propaga organicamente pela rede, como demonstrado pelo [[s0603-stuxnet|Stuxnet]] e por variantes modernas do [[s0386-ursnif|Ursnif]] e do [[conti|Conti]] em suas rotinas de movimento lateral. --- ## Detecção ### Event IDs Relevantes | Event ID | Fonte | Descrição | |----------|-------|-----------| | `5145` | Windows Security | Acesso a objeto de rede compartilhada - monitorar writes suspeitos em shares de alta sensibilidade | | `5140` | Windows Security | Compartilhamento de rede acessado - baseline de acesso para detectar enumeração anômala | | `4663` | Windows Security | Objeto de sistema de arquivos acessado - writes em executáveis em diretórios compartilhados | | `4670` | Windows Security | Permissões de objeto alteradas - indica possível modificação de ACL para facilitar contaminação | | `11` | Sysmon | FileCreaté - criação de arquivos `.lnk` ou executáveis em caminhos de rede (`\\`) | | `1` | Sysmon | ProcessCreaté - processos executados a partir de caminhos UNC (`\\servidor\share\...`) | | `7` | Sysmon | ImageLoaded - DLLs carregadas de caminhos de rede - indicativo de DLL hijacking via share | | `15` | Sysmon | FileCreateStreamHash - alternate data streams em arquivos compartilhados - técnica de evasão | ### Regra Sigma ```yaml title: Executable Written to Network Share Path id: 9a2b4c6e-1d3f-5e7a-8b9c-4d2e1f6a3b8c status: experimental description: Detecta criação ou modificação de executáveis e scripts em caminhos de rede compartilhada - indicativo de Taint Shared Content para movimento lateral. author: RunkIntel daté: 2026/03/24 logsource: product: windows category: file_event detection: selection_path: TargetFilename|startswith: - '\\\\' TargetFilename|endswith: - '.exe' - '.dll' - '.bat' - '.vbs' - '.ps1' - '.lnk' - '.scr' selection_process: Image|endswith: - '\cmd.exe' - '\powershell.exe' - '\wscript.exe' - '\cscript.exe' - '\mshta.exe' filter_legit: Image|endswith: - '\msiexec.exe' - '\TrustedInstaller.exe' condition: (selection_path and selection_process) and not filter_legit falsepositives: - Deployments legítimos de software via GPO ou SCCM/Intune - Scripts de automação corporativa que escrevem em shares - Backups automatizados com cópia de executáveis level: medium tags: - attack.lateral_movement - attack.t1080 ``` --- ## Mitigação | Prioridade | Controle | Descrição para Organizações Brasileiras | |-----------|---------|----------------------------------------| | Alta | [[m1022-restrict-file-and-directory-permissions\|M1022 - Restringir Permissões de Arquivos e Diretórios]] | Implementar princípio do menor privilégio em todos os shares SMB. Usuários devem ter permissão de leitura nos shares de distribuição de software - nunca escrita. Auditar e corrigir shares com `Everyone: Full Control` - configuração extremamente comum em ambientes Windows legados no Brasil. | | Alta | [[Antimalware]] | Garantir que o antivírus/EDR escaneia em tempo real arquivos acessados via caminhos UNC. Muitos agentes de EDR brasileiros têm exclusões amplas em shares de rede por questão de performance - revisar e restringir. Implementar AMSI (Antimalware Scan Interface) para scripts em shares. | | Média | [[m1038-execution-prevention\|M1038 - Prevenção de Execução]] | Configurar AppLocker ou Windows Defender Application Control (WDAC) para bloquear execução de binários a partir de caminhos UNC (`\\servidor\...`). Regra simples que elimina práticamente todas as variantes de directory share pivot. | | Média | [[m1050-exploit-protection\|M1050 - Proteção contra Exploits]] | Habilitar Credential Guard e Data Execution Prevention (DEP) para dificultar a execução de shellcode injetado em binários contaminados. Aplicar marcação de arquivos baixados (Alternaté Data Streams Zone.Identifier) em todos os shares via Group Policy. | | Baixa | Monitoramento de Integridade de Arquivos (FIM) | Implementar FIM em diretórios de shares críticos - qualquer modificação de `.exe`, `.dll`, `.lnk` em caminhos UNC deve gerar alerta. Soluções como Wazuh (open-source, com comunidade ativa no Brasil) ou Tripwire suportam monitoramento de shares SMB. | --- ## Threat Actors e Software ### Grupos que Exploram Taint Shared Content - **[[g0012-darkhotel|Darkhotel]]** - APT sul-coreano com foco em espionagem corporativa; usa shares de rede em hotéis e redes corporativas para distribuir malware disfarçado de atualização de firmware. Relevante para organizações brasileiras do setor hoteleiro e de eventos que hospedam delegações internacionais. - **[[g1039-redcurl|RedCurl]]** - grupo de espionagem corporativa com atuação documentada no Brasil, Rússia e Europa; especializado em contaminar shares de documentação interna e repositórios de scripts para exfiltrar propriedade intelectual silenciosamente ao longo de meses. - **[[g0047-gamaredon|Gamaredon Group]]** - APT russo vinculado ao FSB; usa macros maliciosas em templates Word e Excel armazenados em shares de rede para propagar implantes em redes de governo e defesa - contexto relevante para parceiros diplomáticos e embaixadas no Brasil. - **[[g0060-bronze-butler|BRONZE BUTLER]]** - APT chinês (também conhecido como TICK); usa shares de rede comprometidos como vector de distribuição de implantes em empresas de tecnologia e manufatura jáponesas - padrão replicável em subsidiárias dessas empresas no Brasil. - **[[g1021-cinnamon-tempest|Cinnamon Tempest]]** - grupo de ransomware com atuação em LATAM; usa contaminação de shares para propagar o payload de criptografia lateralmente antes de ativar o ransomware - maximizando o número de sistemas afetados simultaneamente. ### Malware Associado - **[[s0603-stuxnet|Stuxnet]]** - caso histórico paradigmático: propagação via shares SMB e dispositivos USB em redes air-gapped de instalações industriais (ICS/SCADA) - relevante para infraestrutura crítica brasileira. - **[[conti|Conti]]** - ransomware com módulo de propagação via shares SMB; amplamente utilizado contra hospitais, prefeituras e empresas de logística no Brasil entre 2020-2022. - **[[s0386-ursnif|Ursnif]]** - trojan bancário com rotina de infecção de shares; historicamente ativo contra clientes de bancos brasileiros e europeus. - **[[s0132-h1n1|H1N1]]** - malware com capacidade de contaminar drives de rede compartilhados. - **[[s0458-ramsay|Ramsay]]** - framework de espionagem com técnicas de propagação via documentos Office em shares corporativos - associado a grupos APT com interesse em redes air-gapped. - **[[s0260-invisimole|InvisiMole]]** - implante avançado com módulo de coleta via shares - documentado em operações de espionagem na Europa Oriental com possível interesse em diplomacia latino-americana. --- *Fonte: [MITRE ATT&CK - T1080](https://attack.mitre.org/techniques/T1080)*