det0261-detection-of-local-data-staging-prior-to-exfiltration

# DET0261 — Detection of Local Data Staging Prior to Exfiltration ## Descrição Esta estratégia detecta o agrupamento local de dados antes da exfiltração — etapa intermediária onde o adversário coleta, comprime e prepara grandes volumes de dados em um diretório temporário antes de enviá-los para fora da organização. A detecção nessa fase permite interceptar o ataque antes que os dados saiam do ambiente. Os indicadores incluem: criação de arquivos de arquivo comprimido (`.zip`, `.7z`, `.tar.gz`) de grande volume em caminhos temporários ou incomuns, copiando conteúdo de múltiplas fontes de dados (documentos, emails, bancos de dados) para um único local antes de conexão de rede de saída. Ransomware moderno como LockBit e BlackCat realiza esse staging antes de acionar a criptografia e exfiltração dupla. A telemetria necessária inclui monitoramento de volume de I/O de arquivo por processo (EDR), criação de grandes arquivos comprimidos (> 100MB) em `%TEMP%`, `%APPDATA%` ou diretórios de usuário, e correlação de staging com sequência de exfiltração. ## Indicadores de Detecção - Criação de arquivo comprimido > 100MB em diretório temporário por processo não pertencente a backup - Utilitário de compressão (`7z.exe`, `rar.exe`, `tar`) processando múltiplos diretórios distintos em curto período - Volume alto de operações de cópia de arquivo (`xcopy`, `robocopy`) para um único diretório destino - Processo de staging acessando arquivos de diversas localizações: documentos, email, database, code repos - Arquivo comprimido criado em horário fora do expediente por conta de usuário regular - Sequência de criação de arquivo grande seguida de conexão de rede de saída volumosa para mesmo destino ## Técnicas Relacionadas - [[T1074.001-local-data-staging|T1074.001 — Local Data Staging]] - [[t1074-data-staged|T1074 — Data Staged]] - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] ## Analytics Relacionadas - [[an0724-analytic-0724|AN0724 — Analytic 0724]] - [[an0725-analytic-0725|AN0725 — Analytic 0725]] - [[an0726-analytic-0726|AN0726 — Analytic 0726]] - [[an0727-analytic-0727|AN0727 — Analytic 0727]] --- *Fonte: [MITRE ATT&CK — DET0261](https://attack.mitre.org/detectionstrategies/DET0261)*