det0149-detection-of-exfiltration-over-unencrypted-non-c2-protocol

# DET0149 — Detection of Exfiltration Over Unencrypted Non-C2 Protocol ## Descrição Esta estratégia detecta exfiltração de dados via protocolos não cifrados e não relacionados ao canal C2, como HTTP simples, FTP sem TLS, Telnet, ou protocolos customizados em portas não-padrão (T1048.003). A natureza não criptografada torna este vetor paradoxalmente mais detectável por inspeção de conteúdo, porém adversários utilizam-no em redes onde a inspeção DPI não está habilitada ou onde esses protocolos são permitidos por política legacy. O comportamento anômalo central é um processo com acesso a dados sensíveis iniciando conexão não criptografada para destino externo. Em ambientes corporativos modernos, HTTP não-TLS para destinos externos é incomum para aplicações legítimas. A presença de dados sensíveis (documentos, credenciais, dumps) no payload de tráfego HTTP inspecionável é o indicador mais direto. A telemetria inclui logs de proxy web com inspeção de conteúdo, análise de NetFlow para fluxos HTTP (porta 80) de workstations para IPs externos, logs de firewall para tráfego FTP/Telnet de saída, e DLP de rede com reconhecimento de padrões de dados sensíveis. Ambientes com proxy SSL-inspection têm visibilidade mesmo para tráfego "aparentemente" criptografado. ## Indicadores de Detecção - Tráfego HTTP (porta 80) com corpo de requisição contendo dados binários ou Base64 de workstation - Conexão FTP não-TLS (porta 21) para IP externo originada de processo de usuário - Payload HTTP POST contendo padrões de PII, números de cartão de crédito, ou hashes de senha - Processo enviando múltiplos arquivos via HTTP multipart/form-data para domínio recém-registrado - Tráfego Telnet (porta 23) de servidor interno para IP externo (extremamente anômalo) ## Técnicas Relacionadas - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1074-data-staged|T1074 — Data Staged]] ## Analytics Relacionadas - [[an0423-analytic-0423|AN0423 — Analytic 0423]] - [[an0424-analytic-0424|AN0424 — Analytic 0424]] - [[an0425-analytic-0425|AN0425 — Analytic 0425]] - [[an0426-analytic-0426|AN0426 — Analytic 0426]] - [[an0427-analytic-0427|AN0427 — Analytic 0427]] --- *Fonte: [MITRE ATT&CK — DET0149](https://attack.mitre.org/detectionstrategies/DET0149)*