# ftp > Tipo: **tool** · S0095 · [MITRE ATT&CK](https://attack.mitre.org/software/S0095) ## Descrição [[s0095-ftp|ftp]] é um utilitário nativo disponível nos sistemas operacionais Windows, Linux e macOS para transferência de arquivos via File Transfer Protocol (FTP). Administradores de sistemas utilizam o cliente FTP nativo para transferir arquivos para servidores FTP corporativos, fazer upload de relatórios para sistemas legados e realizar backups para servidores de arquivo. Sua presença universal em todos os sistemas operacionais o torna um utilitário confiável para transferências em ambientes heterogêneos. Em contextos maliciosos, adversários utilizam o cliente FTP nativo para transferir ferramentas para sistemas comprometidos (ingress tool transfer) ou exfiltrar dados coletados via protocolos não-criptografados que podem escapar de inspeção de DLP focada em HTTPS. Grupos como [[g0019-naikon|Naikon]], [[g0087-apt39|APT39]], [[g0096-apt41|APT41]], [[g0064-apt33|APT33]] e [[g0049-oilrig|OilRig]] utilizam FTP nativo em suas operações por ser uma alternativa à execução de ferramentas de transferência externas que podem ser detectadas por soluções de segurança. O tráfego FTP em texto plano também permite que adversários visualizem arquivos de configuração e credenciais FTP armazenadas. **Plataformas:** Linux, Windows, macOS ## Técnicas Utilizadas - [[t1570-lateral-tool-transfer|T1570 - Lateral Tool Transfer]] - [[t1048-003-exfiltration-over-unencrypted-non-c2-protocol|T1048.003 - Exfiltration Over Unencrypted Non-C2 Protocol]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] ## Grupos que Usam - [[g0019-naikon|Naikon]] - [[g0087-apt39|APT39]] - [[g0096-apt41|APT41]] - [[g0064-apt33|APT33]] - [[g0049-oilrig|OilRig]] ## Relevância LATAM/Brasil O Brasil opera uma das maiores infraestruturas de FTP legado da América Latina em setores como governo, manufatura e distribuição. O [[g0049-oilrig|OilRig]] (APT34, iraniano) e o [[g0064-apt33|APT33]] têm histórico de campanhas contra setores de energia e petroquímica - relevante dado o peso da Petrobras no cenário energético brasileiro. O uso de FTP nativo para exfiltração passa despercebido em ambientes onde o monitoramento de tráfego não-HTTP é limitado, o que é comum em redes corporativas brasileiras de médio porte. ## Detecção **Fontes de dados recomendadas:** - **Firewall/Proxy Logs:** Tráfego FTP (porta 21) de saída originado de hosts que não operam como servidores FTP - qualquer workstation fazendo conexão FTP ativa de saída é suspeita - **Sysmon Event ID 3 (NetworkConnect):** `ftp.exe` iniciando conexões para IPs externos - utilitário FTP nativo geralmente não faz conexões de saída em ambientes corporativos normais - **Network DLP:** Transferências FTP em texto plano inspecionáveis para identificar exfiltração de dados sensíveis **Regras de detecção:** - Sigma: `proc_creation_win_ftp_suspicious_usage.yml` - execução de `ftp.exe` com argumentos de transferência de arquivos (SigmaHQ) - Firewall rule: bloquear FTP de saída de workstations (porta 21) exceto para servidores FTP corporativos autorizados ## Referências Adicionais - [MITRE ATT&CK - S0095](https://attack.mitre.org/software/S0095) - [SigmaHQ - ftp suspicious usage](https://github.com/SigmaHQ/sigma) - 2024