# AN1572 — Analytic 1572 ## Descrição Este analítico detecta processos como `curl`, `wget`, `rclone` ou scripts personalizados executando uploads para endpoints de armazenamento em nuvem no Linux, com foco na cadeia onde `tar`/`gzip` é executado para compactar arquivos seguido de requisições HTTPS PUT/POST para serviços de armazenamento conhecidos como AWS S3, Dropbox ou Google Drive. A telemetria provém de auditd que registra eventos `EXECVE` para ferramentas de transferência com URLs e argumentos completos, complementado por logs de fluxo de rede que capturam conexões HTTPS para endereços IP e domínios de provedores de armazenamento em nuvem. A relevância é alta em ambientes de servidor Linux onde `rclone` e scripts personalizados têm sido amplamente adotados por grupos de ransomware como BlackCat e Cl0p para exfiltração de dados antes da criptografia. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1567-002-exfiltration-to-cloud-storage|T1567.002 — Exfiltration to Cloud Storage]] - [[t1567-exfiltration-over-web-service|T1567 — Exfiltration Over Web Service]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1074-data-staged|T1074 — Data Staged]] --- *Fonte: [MITRE ATT&CK — AN1572](https://attack.mitre.org/detectionstrategies/DET0570#AN1572)*