det0220-detection-of-usb-based-data-exfiltration

# DET0220 — Detection of USB-Based Data Exfiltration ## Descrição Esta estratégia detecta exfiltração de dados por meio de dispositivos USB, vetor amplamente explorado em ambientes air-gapped ou por insiders maliciosos. O foco é monitorar eventos de conexão de dispositivos removíveis correlacionados com transferências volumosas de arquivos, copiando dados críticos para mídia externa antes de retirar fisicamente do ambiente. Os principais indicadores incluem: montagem de dispositivos USB seguida imediatamente de operações em massa de leitura/cópia de arquivos sensíveis, execução de utilitários de compressão antes da conexão do dispositivo e acesso a pastas restritas a partir de processos associados ao gerenciador de arquivos. Em sistemas Windows, eventos `DeviceSetupManager` e `DriverFrameworks-UserMode` registram inserção de USB; em Linux, udev e `/var/log/syslog` contêm montagens de bloco. A telemetria necessária abrange logs de eventos do sistema operacional (Windows Event IDs 6416, 20001), monitoramento de processos via EDR para rastrear cópias de arquivos a partir de unidades removíveis, e DLP (Data Loss Prevention) com políticas de dispositivo periférico. ## Indicadores de Detecção - Evento Windows ID 6416 (novo dispositivo externo reconhecido) seguido de volume alto de acesso a arquivos - Processo `explorer.exe` ou utilitários de cópia (`xcopy`, `robocopy`) operando em driveLetters removíveis (`E:\`, `F:\`) - Compressão de diretórios (`7z.exe`, `zip`, `rar`) antes ou imediatamente após conexão de USB - Acesso a caminhos sensíveis (`C:\Users\`, compartilhamentos de rede) por processos com handle de dispositivo removível aberto - Tentativas de montagem de dispositivo USB em sistemas com política de bloqueio (Device Control) - Grandes volumes de leitura de arquivo em curto intervalo de tempo a partir de caminho USB montado ## Técnicas Relacionadas - [[t1052-exfiltration-over-physical-medium|T1052 — Exfiltration Over Physical Medium]] - [[T1052.001-exfiltration-over-usb|T1052.001 — Exfiltration over USB]] - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] - [[t1074-data-staged|T1074 — Data Staged]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] ## Analytics Relacionadas - [[an0616-analytic-0616|AN0616 — Analytic 0616]] - [[an0617-analytic-0617|AN0617 — Analytic 0617]] - [[an0618-analytic-0618|AN0618 — Analytic 0618]] --- *Fonte: [MITRE ATT&CK — DET0220](https://attack.mitre.org/detectionstrategies/DET0220)*