det0284-detection-strategy-for-exfiltration-to-text-storage-sites

# DET0284 — Detection Strategy for Exfiltration to Text Storage Sites ## Descrição Esta estratégia detecta exfiltração de dados para sites de armazenamento de texto público como Pastebin, Ghostbin, paste.ee e similares, uma técnica usada para contornar controles DLP que inspecionam uploads para serviços de cloud storage convencionais. O uso de serviços de paste é particularmente atraente para adversários porque o tráfego parece legítimo, os dados são facilmente acessíveis remotamente e os serviços raramente bloqueiam conteúdo automaticamente. Os indicadores incluem requisições HTTP POST de grande volume para domínios conhecidos de paste (pastebin.com, paste.ee, hastebin.com), uploads contendo strings codificadas em Base64 ou hexadecimal de documentos internos, e padrões de acesso incomuns como uploads fora do horário comercial ou de sistemas que não têm histórico de acesso a tais serviços. Proxy logs e CASB são as principais fontes de telemetria. A correlação com contexto de endpoint é fundamental: processo realizando o upload (navegador vs. script), volume de dados transferidos, e frequência das requisições. Grupos como [[g0050-apt32|APT32]] e [[g0046-fin7|FIN7]] utilizaram variantes desta técnica para exfiltrar dados de configuração e credenciais coletadas. ## Indicadores de Detecção - HTTP POST para pastebin.com, paste.ee, ghostbin.co, dpaste.org com corpo > 10KB - Upload de conteúdo Base64-encoded com padrões de header de arquivo (magic bytes encodados) - Requisições frequentes a sites de paste por processo não-browser (curl, python, powershell) - Upload de dados para paste seguido de acesso ao link gerado de IP externo diferente - Padrão de upload em horário noturno ou fora do padrão do usuário - Conteúdo POST contendo strings de conexão de banco de dados, chaves API ou dados PII estruturados ## Técnicas Relacionadas - [[t1567-exfiltration-over-web-service|T1567 — Exfiltration Over Web Service]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1020-automated-exfiltration|T1020 — Automated Exfiltration]] ## Analytics Relacionadas - [[an0787-analytic-0787|AN0787 — Analytic 0787]] - [[an0788-analytic-0788|AN0788 — Analytic 0788]] - [[an0789-analytic-0789|AN0789 — Analytic 0789]] - [[an0790-analytic-0790|AN0790 — Analytic 0790]] --- *Fonte: [MITRE ATT&CK — DET0284](https://attack.mitre.org/detectionstrategies/DET0284)*