det0090-cross-host-c2-via-removable-media-relay

# DET0090 — Cross-host C2 via Removable Media Relay ## Descrição Esta estratégia detecta o uso de mídia removível (pen drives, discos externos) como canal de C2 para comunicação entre hosts em redes air-gapped ou segmentadas. O adversário compromete um host com acesso à internet e outro isolado (air-gapped), usando mídia compartilhada como relay de comandos e exfiltração de dados. Esta é uma TTP clássica de espionagem de estado-nação em ambientes industriais e governamentais. A detecção foca em: atividade incomum de leitura/escrita em dispositivos USB imediatamente após conexão, criação de arquivos ocultos ou com nomes similares a arquivos do sistema em mídias removíveis, e padrões de acesso sequencial que sugerem sincronização (host A escreve → mídia conectada no host B → host B lê os mesmos arquivos). Logs de eventos Windows (Event IDs 4663, 6416) e auditoria de USB são a telemetria central. Artefatos adicionais incluem: arquivos de configuração cifrados em setores não alocados de FAT/NTFS, criação de tarefas agendadas que executam ao detectar nova mídia (`Win32_DeviceChangeEvent`), e hashes de arquivos em mídia que correspondem a malwares conhecidos de air-gap como [[s0092-agentbtz|agent.btz]] e componentes do [[g0020-equation-group]]. Grupos como [[g0010-turla]] e [[g0032-lazarus-group]] desenvolveram técnicas sofisticadas de C2 via USB. ## Indicadores de Detecção - Acesso massivo de escrita em dispositivo USB recém-conectado por processo não-explorador de arquivos - Arquivos com atributos ocultos ou nomes começando com `.` criados na raiz de dispositivos USB - Criação de tarefas agendadas ou handlers de AutoRun em resposta a eventos de inserção de mídia - Leitura de arquivos em USB imediatamente após conexão por processos em background (sem interação do usuário) - Hash de arquivos em mídia removível correspondendo a IoCs conhecidos de malware USB - Padrões de sincronização: mesmo conjunto de arquivos copiados entre múltiplos hosts via mídia compartilhada ## Técnicas Relacionadas - [[t1092-communication-through-removable-media]] — Técnica principal de C2 via mídia - [[t1091-replication-through-removable-media]] — Replicação e propagação via USB - [[t1052001-exfiltration-over-physical-medium-usb]] — Exfiltração via USB - [[t1025-data-from-removable-media]] — Coleta de dados de mídia removível - [[t1553-subvert-trust-controls]] — Bypass de controles em hosts air-gapped ## Analytics Relacionadas - [[an0247-analytic-0247|AN0247 — Analytic 0247]] - [[an0248-analytic-0248|AN0248 — Analytic 0248]] - [[an0249-analytic-0249|AN0249 — Analytic 0249]] --- *Fonte: [MITRE ATT&CK — DET0090](https://attack.mitre.org/detectionstrategies/DET0090)*