det0123-detection-of-data-exfiltration-via-removable-media

# DET0123 — Detection of Data Exfiltration via Removable Media ## Descrição Esta estratégia detecta a exfiltração de dados por meio de dispositivos de mídia removível (USB, drives externos, cartões SD). Adversários com acesso físico ou presença já estabelecida no endpoint podem copiar arquivos sensíveis para mídia removível para contornar controles de DLP de rede, especialmente em ambientes air-gapped ou com saída de rede restrita. Os principais indicadores são eventos de montagem/conexão de dispositivo (Event ID 6416 — novo dispositivo externo detectado) seguidos de operações de cópia de arquivos de grande volume em curto espaço de tempo para o drive montado. Ferramentas de staging como `robocopy`, `xcopy` ou scripts PowerShell acessando volumes removíveis são sinais de alta fidelidade. A telemetria inclui logs de Device Guard, auditoria de acesso a objetos do Windows, Sysmon Event ID 11 (FileCreate) com destino em letras de drive removível, e EDR file-copy events. Em ambientes críticos, a política de grupo deve bloquear dispositivos não autorizados e o SIEM deve correlacionar conexão de dispositivo com volume anômalo de I/O. ## Indicadores de Detecção - Event ID 6416 (novo dispositivo externo) seguido de volume alto de FileCreate em drive removível - Processos como `robocopy.exe`, `xcopy.exe`, `7z.exe` com caminho destino em drive não-sistema - Arquivos comprimidos (`.zip`, `.7z`, `.rar`) criados em volume removível recém-montado - Cópia de arquivos sensíveis (documentos Office, bases de dados) para letra de drive D:/E:/F: - Volume de bytes escritos em mídia removível acima de threshold configurado por política ## Técnicas Relacionadas - [[t1052-exfiltration-over-physical-medium|T1052 — Exfiltration Over Physical Medium]] - [[t1025-data-from-removable-media|T1025 — Data from Removable Media]] - [[t1074-data-staged|T1074 — Data Staged]] - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] - [[t1119-automated-collection|T1119 — Automated Collection]] ## Analytics Relacionadas - [[an0342-analytic-0342|AN0342 — Analytic 0342]] - [[an0343-analytic-0343|AN0343 — Analytic 0343]] - [[an0344-analytic-0344|AN0344 — Analytic 0344]] --- *Fonte: [MITRE ATT&CK — DET0123](https://attack.mitre.org/detectionstrategies/DET0123)*