det0014-detection-of-data-staging-prior-to-exfiltration

# DET0014 — Detection of Data Staging Prior to Exfiltration ## Descrição Esta estratégia detecta a fase de staging de dados — quando o atacante agrega, comprime e prepara arquivos roubados antes de exfiltrá-los. Esta fase precede quase toda exfiltração significativa e apresenta comportamentos distintos: criação de arquivos comprimidos (.zip, .7z, .rar) em locais incomuns, cópia em massa de arquivos para diretório temporário, e enumeração de documentos sensíveis. O staging é frequentemente realizado em diretórios temporários (`%TEMP%`, `/tmp`, `C:\Users\Public`) ou em diretórios raiz de drives para facilitar o acesso. Ransomware operators e APTs de espionagem frequentemente realizam staging de dados antes da exfiltração, sendo a detecção nesta fase uma oportunidade crítica de interrupção do ataque. Monitoramento de criação de arquivos em massa, uso de utilitários de compressão (7z.exe, WinRAR, tar, zip) com argumentos que apontam para documentos do usuário, e volumes incomuns de I/O de arquivo são os principais indicadores. Logs de endpoint (EDR, Sysmon Event ID 11) e DLP são fontes essenciais. ## Indicadores de Detecção - Criação de arquivo comprimido (`.zip`, `.7z`, `.rar`) contendo múltiplos documentos Office ou PDFs - Utilitário de compressão executado com argumento recursivo sobre diretórios de documentos do usuário - Cópia em massa de arquivos para diretório temporário ou removível em curto intervalo - Volume de I/O de arquivo (leitura) significativamente acima da linha de base do host em horário incomum - Arquivo de staging criado em diretório acessível por múltiplos usuários (`C:\Users\Public`, `/tmp`) ## Técnicas Relacionadas - [[t1074-data-staged|T1074 — Data Staged]] - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] ## Analytics Relacionadas - [[an0040-analytic-0040|AN0040 — Analytic 0040]] - [[an0041-analytic-0041|AN0041 — Analytic 0041]] - [[an0042-analytic-0042|AN0042 — Analytic 0042]] - [[an0043-analytic-0043|AN0043 — Analytic 0043]] - [[an0044-analytic-0044|AN0044 — Analytic 0044]] --- *Fonte: [MITRE ATT&CK — DET0014](https://attack.mitre.org/detectionstrategies/DET0014)*