det0268-detect-archiving-via-library-t1560002

# DET0268 — Detect Archiving via Library (T1560.002) ## Descrição Esta estratégia detecta o uso de bibliotecas de compressão e arquivamento diretamente por código malicioso para comprimir dados coletados antes da exfiltração, sem chamar executáveis externos que poderiam ser detectados. Adversários usam bibliotecas como `zlib`, `libzip`, `SharpZipLib` (C#), `zipfile` (Python), ou funções nativas da linguagem para criar arquivos comprimidos programaticamente. Diferente do uso de ferramentas CLI de compressão (7z, WinRAR), o arquivamento via biblioteca é mais difícil de detectar porque não gera uma entrada de processo separada. A detecção requer monitoramento de APIs de arquivo como `CreateFile` para paths `.zip`/`.gz` por processos não-arquivadores, análise de comportamento de DLLs de compressão carregadas em processos suspeitos, e correlação com staging de dados. A telemetria requer monitoramento de importações de DLL (Sysmon Event ID 7) para bibliotecas de compressão por processos suspeitos, monitoramento de operações de arquivo para criação de formatos comprimidos, e análise de comportamento via EDR. ## Indicadores de Detecção - Processo não pertencente a aplicação de backup/compressão carregando `zlib.dll`, `bzip2.dll` ou `libzip` - Criação de arquivo `.zip`, `.gz`, `.bz2` ou `.7z` por processo de linha de comando ou script - Biblioteca `System.IO.Compression` (C#) ou `zipfile` (Python) usada por processo de payload - Arquivo comprimido criado programaticamente com conteúdo de múltiplas fontes de dados sensíveis - Script PowerShell usando `[System.IO.Compression.ZipFile]::CreateFromDirectory()` para dados do usuário - Alto volume de I/O de arquivo seguido de criação de único arquivo de tamanho proporcional à soma dos arquivos lidos ## Técnicas Relacionadas - [[T1560.002-archive-via-library|T1560.002 — Archive via Library]] - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] - [[t1074-data-staged|T1074 — Data Staged]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] ## Analytics Relacionadas - [[an0747-analytic-0747|AN0747 — Analytic 0747]] - [[an0748-analytic-0748|AN0748 — Analytic 0748]] - [[an0749-analytic-0749|AN0749 — Analytic 0749]] --- *Fonte: [MITRE ATT&CK — DET0268](https://attack.mitre.org/detectionstrategies/DET0268)*