det0131-behavioral-detection-strategy-for-exfiltration-over-alternative-protocol

# DET0131 — Behavioral Detection Strategy for Exfiltration Over Alternative Protocol ## Descrição Esta estratégia detecta exfiltração de dados utilizando protocolos alternativos ao C2 principal — como FTP, SCP, SFTP, SMB, NFS, ou protocolos de aplicação não-padrão — para contornar controles focados em HTTP/HTTPS. Adversários escolhem protocolos alternativos por menor visibilidade em ferramentas de DLP voltadas para tráfego web ou por disponibilidade de canais abertos na rede corporativa. Os indicadores comportamentais incluem: processo não-administrativo iniciando conexões FTP/SCP para destinos externos, pico de tráfego de saída em portas 21, 22, 445, 2049 ou 8080 fora de janelas de manutenção, e grandes volumes de dados transferidos por protocolo não-HTTP de hosts de usuário final. Ferramentas como `scp`, `winscp`, `rclone` e `ftp` usadas por processos suspeitos são indicadores de alta fidelidade. A telemetria exige visibilidade de rede em camada 4/7: logs de firewall com bytes transferidos por protocolo/porta, NetFlow/IPFIX, e monitoramento de DNS para resolução de FTP servers externos. Em endpoints, Sysmon Event ID 3 (conexão de rede) e logs de EDR para uso de ferramentas de transferência de arquivos complementam a detecção. ## Indicadores de Detecção - Conexão FTP (porta 21) ou SFTP (porta 22) para IP externo originada de workstation - `rclone`, `winscp`, `filezilla` ou `ftp.exe` executados por processo filho de malware - Volume de dados enviados via protocolo não-HTTP excedendo threshold (ex: >100MB/hora) - SMB de saída (porta 445) para IPs externos não-cadastrados como parceiros - Processo stagings arquivos localmente e depois transferindo via protocolo alternativo ## Técnicas Relacionadas - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1074-data-staged|T1074 — Data Staged]] - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] ## Analytics Relacionadas - [[an0367-analytic-0367|AN0367 — Analytic 0367]] - [[an0368-analytic-0368|AN0368 — Analytic 0368]] - [[an0369-analytic-0369|AN0369 — Analytic 0369]] - [[an0370-analytic-0370|AN0370 — Analytic 0370]] - [[an0371-analytic-0371|AN0371 — Analytic 0371]] --- *Fonte: [MITRE ATT&CK — DET0131](https://attack.mitre.org/detectionstrategies/DET0131)*