det0298-detect-archiving-via-utility-t1560001

# DET0298 — Detect Archiving via Utility (T1560.001) ## Descrição Esta estratégia detecta o uso de utilitários de arquivamento para coletar e compactar dados roubados antes da exfiltração, correspondente à sub-técnica `T1560.001` (Archive Collected Data: Archive via Utility). Adversários utilizam ferramentas como `7z.exe`, `WinRAR`, `tar`, `zip` e `gzip` para consolidar arquivos sensíveis em um único arquivo compactado, frequentemente protegido por senha, facilitando a exfiltração em uma única operação. Os indicadores comportamentais incluem execução de utilitários de compressão com flags que sugerem coleta sistemática: listas de caminhos abrangentes (múltiplos diretórios de documentos, banco de dados, configurações), uso de filtros por tipo de arquivo (`.docx`, `.xlsx`, `.sql`, `.kdb`), e criação de arquivos compactados em paths de staging (temp, drives removíveis, compartilhamentos de rede). A criação de múltiplos arquivos em sequência com nomes incrementais indica automação. Grupos de ransomware como [[lockbit|LockBit]], [[blackcat|BlackCat]] e [[cl0p|Cl0p]] sistematicamente arquivam dados coletados antes de exfiltrar, caracterizando o modelo de dupla extorsão. A detecção desta etapa é uma oportunidade crítica de interrupção da cadeia de ataque antes que a exfiltração ocorra. ## Indicadores de Detecção - `7z.exe a` ou `rar a` incluindo paths de documentos do usuário, `%APPDATA%` ou shares de rede - Compressão de arquivos com extensões sensíveis (`.sql`, `.bak`, `.kdb`, `.pst`, `.ost`) em sequência - Utilitário de archiving executado por processo filho de shell ou script não interativo - Criação de arquivo comprimido com senha em path de staging suspeito (`%TEMP%`, `C:\ProgramData\`) - `tar cf` ou `zip -r` incluindo diretório `/etc/` ou `/home/` em sistemas Linux - Volume de dados comprimidos em curto período superior a threshold configurado (ex: > 1GB em 5 minutos) ## Técnicas Relacionadas - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1074-data-staged|T1074 — Data Staged]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] ## Analytics Relacionadas - [[an0831-analytic-0831|AN0831 — Analytic 0831]] - [[an0832-analytic-0832|AN0832 — Analytic 0832]] - [[an0833-analytic-0833|AN0833 — Analytic 0833]] --- *Fonte: [MITRE ATT&CK — DET0298](https://attack.mitre.org/detectionstrategies/DET0298)*