det0213-detection-strategy-for-data-transfer-size-limits-and-chunked-exfiltratio

# DET0213 — Detection Strategy for Data Transfer Size Limits and Chunked Exfiltration ## Descrição Esta estratégia detecta exfiltração de dados em chunks para contornar limites de transferência e sistemas de DLP — mapeada para [[T1030 — Data Transfer Size Limits]]. Adversários fragmentam dados coletados em partes menores (frequentemente abaixo de limites de alerta, como 10MB ou 100MB por transferência) e os exfiltram ao longo do tempo ou via múltiplos canais para evitar detecção baseada em volume de dados. A detecção agrega múltiplas transferências pequenas ao mesmo destino ao longo de um período estendido, identificando padrões de exfiltração segmentada que individualmente parecem legítimos. Análise de fluxo de rede (NetFlow, IPFIX) correlacionando destino, volume acumulado, intervalo entre transferências e entropia de payload é fundamental. A correlação com staging prévio de dados (compressão de arquivos, criação de arquivos `.zip`/`.rar` em diretório temporário) aumenta a fidelidade. Três analytics abordam: série de uploads de tamanho similar ao mesmo destino externo, transferências a intervalos regulares para endpoint único (beaconing com dados), e múltiplas conexões de curta duração com payloads não-zero para destino externo. Comparação com baseline de volume de transferências do usuário/host identifica desvios significativos. ## Indicadores de Detecção - > 10 transferências HTTP POST de tamanho similar (ex: 8-10MB cada) ao mesmo IP externo em 1 hora - Uploads regulares (ex: a cada 15 minutos) de tamanho fixo para endpoint de cloud storage não-corporativo - Volume acumulado de transferências para destino único excedendo 1GB em janela de 24 horas - Arquivos comprimidos (`.zip`, `.7z`, `.rar`) criados sequencialmente em `%TEMP%` antes de uploads - Transferências fragmentadas usando protocolos de armazenamento cloud não-aprovados (Mega, WeTransfer) - Payload de resposta HTTP mínimo (< 1KB) com uploads regulares de múltiplos MB (upload-only channel) - Transferências fora do horário de trabalho para destinos externos com nomes de domínio recentes (< 30 dias) ## Técnicas Relacionadas - [[t1030-data-transfer-size-limits|T1030 — Data Transfer Size Limits]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] ## Analytics Relacionadas - [[an0596-analytic-0596|AN0596 — Analytic 0596]] - [[an0597-analytic-0597|AN0597 — Analytic 0597]] - [[an0598-analytic-0598|AN0598 — Analytic 0598]] --- *Fonte: [MITRE ATT&CK — DET0213](https://attack.mitre.org/detectionstrategies/DET0213)*