det0071-detection-of-remote-data-staging-prior-to-exfiltration

# DET0071 — Detection of Remote Data Staging Prior to Exfiltration ## Descrição Antes de exfiltrar dados, adversários frequentemente consolidam arquivos coletados de múltiplos sistemas em um único host de staging — geralmente um servidor interno comprometido com boa conectividade de saída. Esta fase de staging remoto (T1074.002) é um sinal valioso de detecção porque ocorre entre o acesso inicial e a exfiltração, oferecendo uma janela de intervenção antes que os dados saiam da rede. Esta estratégia de detecção monitora padrões de transferência interna de arquivos anômalos: grandes volumes de dados sendo copiados lateralmente via SMB, SCP, RDP clipboard ou utilitários como `robocopy`, `xcopy` e `rsync` para hosts que normalmente não são destino dessas transferências. A criação de arquivos comprimidos (`.zip`, `.tar.gz`, `.7z`, `.rar`) em diretórios temporários de servidores de staging, especialmente quando os arquivos são subsequentemente acessados por processos de rede, é um indicador de alta fidelidade. Grupos APT com missão de espionagem — como [[g0007-apt28]], [[g0016-apt29]] e [[g0032-lazarus-group]] — empregam staging remoto extensivamente antes de exfiltrar dados via canais como HTTPS, DNS ou compartilhamentos de nuvem. A correlação entre o volume incomum de transferência lateral e a subsequente saída de dados para destinos externos é o padrão de detecção central desta estratégia. ## Indicadores de Detecção - Criação de arquivo comprimido grande (> 100 MB) em diretório temporário de servidor não designado para backup - Transferência SMB de alto volume para host que não é servidor de arquivos designado - Uso de `robocopy`, `xcopy` ou `rsync` fora de janelas de backup programadas - Acumulação de arquivos de múltiplas extensões sensíveis (`.docx`, `.xlsx`, `.pdf`, `.sql`) em único diretório - Processo de compressão seguido de conexão de rede de saída no mesmo host dentro de 30 minutos - Autenticação lateral de conta de serviço para múltiplos hosts seguida de operações de leitura intensiva ## Técnicas Relacionadas - [[t1074002-data-staged-remote-data-staging|T1074.002 — Remote Data Staging]] - [[t1074-data-staged|T1074 — Data Staged]] - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] ## Analytics Relacionadas - [[an0194-analytic-0194|AN0194 — Analytic 0194]] - [[an0195-analytic-0195|AN0195 — Analytic 0195]] - [[an0196-analytic-0196|AN0196 — Analytic 0196]] - [[an0197-analytic-0197|AN0197 — Analytic 0197]] - [[an0198-analytic-0198|AN0198 — Analytic 0198]] --- *Fonte: [MITRE ATT&CK — DET0071](https://attack.mitre.org/detectionstrategies/DET0071)*