det0254-detection-strategy-of-transmitted-data-manipulation

# DET0254 — Detection Strategy of Transmitted Data Manipulation ## Descrição Detecta a manipulação de dados em trânsito por adversários posicionados entre comúnicadores (adversary-in-the-middle) ou com acesso a sistemas de processamento de dados. A técnica T1565 envolve modificação de dados durante transmissão — alterando transações financeiras, modificando respostas de APIs ou adulterando comúnicações para fins de fraude, sabotagem ou espionagem. Os indicadores incluem discrepâncias entre dados enviados e recebidos em sistemas com logging bidirecional, checksums de integridade inválidos em transmissões de arquivo, modificações não autorizadas em respostas de proxy/load balancer e anomalias em valores de transações comparados com histórico estabelecido de padrões de negócio. A telemetria necessária abrange comparação de hashes de dados em endpoints de origem e destino, logs de WAF/proxy com inspeção de payload, verificação de integridade de mensagens em sistemas de mensageria (Kafka, RabbitMQ) e monitoramento de campos críticos em transações financeiras ou de saúde. ## Indicadores de Detecção - Hash MD5/SHA256 de arquivo diferente entre origem e destino sem transformação autorizada - Valor de campo crítico (ex: `amount`, `recipient_account`) alterado entre request e processamento - Resposta HTTP modificada em relação ao payload original detectado por WAF em modo transparente - Mensagem de fila (Kafka/SQS) com conteúdo diferente do públicado pelo producer original - Checksum de integridade HMAC ou assinatura digital inválida em transmissão de dados sensíveis - Proxy ou middlebox reinjetando conteúdo em sessões TLS com certificado substituído ## Técnicas Relacionadas - [[t1565-data-manipulation|T1565 — Data Manipulation]] - [[t1557-adversary-in-the-middle|T1557 — Adversary-in-the-Middle]] - [[t1040-network-sniffing|T1040 — Network Sniffing]] - [[t1499-endpoint-denial-of-service|T1499 — Endpoint Denial of Service]] ## Analytics Relacionadas - [[an0702-analytic-0702|AN0702 — Analytic 0702]] - [[an0703-analytic-0703|AN0703 — Analytic 0703]] - [[an0704-analytic-0704|AN0704 — Analytic 0704]] --- *Fonte: [MITRE ATT&CK — DET0254](https://attack.mitre.org/detectionstrategies/DET0254)*