det0153-detection-strategy-for-exfiltration-over-webhook

# DET0153 — Detection Strategy for Exfiltration Over Webhook ## Descrição Esta estratégia detecta exfiltração de dados via webhooks de serviços legítimos como Discord, Slack, Microsoft Teams, Telegram e similares (T1567). Adversários criam webhooks em servidores controlados ou abusam de webhooks existentes para enviar dados roubados via HTTPS para plataformas confiáveis, misturando o tráfego malicioso com comúnicações corporativas legítimas e evitando bloqueios de DLP focados em destinos desconhecidos. O vetor é especialmente popular em malware de baixo custo e infostealers voltados ao mercado de crimeware: Vidar Stealer, RedLine, Raccoon, e dezenas de variantes de infostealer para Windows utilizam Discord webhooks como destino primário de exfiltração. O padrão é: coletar credenciais/cookies/arquivos, comprimir, e enviar via POST para `https://discord.com/api/webhooks/<id>/<token>`. A telemetria inclui logs de proxy web e DNS para requisições a endpoints de webhook conhecidos (`discord.com/api/webhooks`, `hooks.slack.com`, `api.telegram.org/bot`), análise de User-Agent em requisições para essas URLs (User-Agents não-navegador são suspeitos), Sysmon Event ID 3 para processos em caminhos suspeitos conectando a IPs de Discord/Slack, e DLP com análise de corpo de requisição POST para padrões de credenciais ou dados sensíveis. ## Indicadores de Detecção - Requisição POST para `discord.com/api/webhooks/*` por processo que não é o cliente Discord oficial - Envio de arquivo (attachment) para webhook do Discord/Slack por processo em `%TEMP%` - User-Agent de requisição para webhook diferente de navegador ou aplicativo corporativo oficial - Múltiplas requisições POST em curto intervalo para `api.telegram.org/bot` por processo de usuário - Corpo de requisição de webhook contendo strings de credenciais, cookies, ou dados de cartão ## Técnicas Relacionadas - [[t1567-exfiltration-over-web-service|T1567 — Exfiltration Over Web Service]] - [[t1102-web-service|T1102 — Web Service]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] ## Analytics Relacionadas - [[an0436-analytic-0436|AN0436 — Analytic 0436]] - [[an0437-analytic-0437|AN0437 — Analytic 0437]] - [[an0438-analytic-0438|AN0438 — Analytic 0438]] - [[an0439-analytic-0439|AN0439 — Analytic 0439]] - [[an0440-analytic-0440|AN0440 — Analytic 0440]] --- *Fonte: [MITRE ATT&CK — DET0153](https://attack.mitre.org/detectionstrategies/DET0153)*