det0077-detection-of-exfiltration-over-alternate-network-interfaces

# DET0077 — Detection of Exfiltration Over Alternate Network Interfaces ## Descrição A exfiltração por interfaces de rede alternativas (T1011) é uma técnica utilizada por adversários para contornar controles de DLP e monitoramento de tráfego que focam na interface de rede principal. Ao utilizar interfaces secundárias — como conexões Wi-Fi adicionais, adaptadores USB de rede, conexões Bluetooth, modems celulares ou interfaces de gestão out-of-band (IPMI, BMC) — o atacante cria um canal de saída invisível para soluções de segurança configuradas apenas para a interface corporativa principal. Esta estratégia de detecção monitora a ativação e uso de interfaces de rede não monitoradas: aparecimento de nova interface de rede (`ip link show` no Linux, `ipconfig` no Windows) não presente no baseline, tráfego de dados significativo em interface Wi-Fi enquanto o host está conectado à rede corporativa cabeada, e uso de Bluetooth para transferência de arquivos em endpoints corporativos. A correlação entre staging de dados e ativação de interface alternativa é o sinal de maior fidelidade. Em ambientes industriais (ICS/OT), a técnica é especialmente perigosa pois redes de controle frequentemente têm controles de monitoramento menores. Ataques sofisticados como [[s0603-stuxnet]] e derivados demonstraram o uso de interfaces alternativas e mídia removível para cruzar air gaps em redes isoladas. ## Indicadores de Detecção - Nova interface de rede detectada em host que não deveria ter adaptadores de rede adicionais - Tráfego de saída significativo em interface Wi-Fi secundária enquanto Ethernet primária está ativa - Adaptador USB de rede conectado e utilizado em host de servidor ou estação bloqueada - Interface de rede bluetooth ativada em endpoint corporativo seguida de transferência de dados - Tráfego de saída pela interface de gestão (IPMI/BMC) fora de operações administrativas programadas - Processo enviando dados via interface não monitorada pelo agente de DLP ou NGFW ## Técnicas Relacionadas - [[t1011-exfiltration-over-other-network-medium|T1011 — Exfiltration Over Other Network Medium]] - [[t1011001-exfiltration-over-bluetooth|T1011.001 — Exfiltration Over Bluetooth]] - [[t1052-exfiltration-over-physical-medium|T1052 — Exfiltration Over Physical Medium]] - [[t1200-hardware-additions|T1200 — Hardware Additions]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] ## Analytics Relacionadas - [[an0212-analytic-0212|AN0212 — Analytic 0212]] - [[an0213-analytic-0213|AN0213 — Analytic 0213]] - [[an0214-analytic-0214|AN0214 — Analytic 0214]] --- *Fonte: [MITRE ATT&CK — DET0077](https://attack.mitre.org/detectionstrategies/DET0077)*