det0318-detection-strategy-for-exfiltration-to-code-repository

# DET0318 — Detection Strategy for Exfiltration to Code Repository ## Descrição Esta estratégia detecta exfiltração de dados sensíveis utilizando plataformas de repositório de código como GitHub, GitLab ou Bitbucket como canal de saída. A técnica [[T1567.001-exfiltration-to-code-repository]] é atrativa para adversários pois o tráfego HTTPS para essas plataformas raramente é bloqueado e se mistura ao tráfego legítimo de desenvolvedores. A detecção envolve análise de volume e frequência de uploads para domínios de repositórios, combinada com identificação de dados sensíveis (credenciais, propriedade intelectual, PII) em commits. Ferramentas de DLP integradas a proxies e soluções CASB são componentes centrais da cobertura. Empresas de tecnologia e fintechs no Brasil são alvos comuns deste vetor, dado o amplo uso de Git em ambientes de desenvolvimento. Monitorar `git push` para repositórios externos não corporativos é um sinal de alta relevância. ## Indicadores de Detecção - Uploads volumosos (>10 MB) para github.com, gitlab.com ou bitbucket.org fora do horário comercial - Uso de tokens de acesso pessoal (PAT) em repositórios não pertencentes à organização - Commits contendo strings com padrão de credenciais, chaves de API ou dados estruturados (CSV, JSON de banco de dados) - Novos repositórios privados criados por contas corporativas seguidos de push imediato - Processos não-IDE (ex: scripts Python, PowerShell) executando `git push` - Uso de `git archive` seguido de transferência de arquivo comprimido ## Técnicas Relacionadas - [[T1567.001-exfiltration-to-code-repository]] — técnica primária - [[t1567-exfiltration-over-web-service|T1567-exfiltration-over-web-service]] — categoria pai - [[t1048-exfiltration-over-alternative-protocol|T1048-exfiltration-over-alternative-protocol]] — canais alternativos de exfiltração - [[t1560-archive-collected-data|T1560-archive-collected-data]] — empacotamento de dados antes da exfiltração - [[t1530-data-from-cloud-storage|T1530-data-from-cloud-storage]] — coleta de dados em nuvem antes de exfiltrar ## Analytics Relacionadas - [[an0895-analytic-0895|AN0895 — Analytic 0895]] - [[an0896-analytic-0896|AN0896 — Analytic 0896]] - [[an0897-analytic-0897|AN0897 — Analytic 0897]] - [[an0898-analytic-0898|AN0898 — Analytic 0898]] --- *Fonte: [MITRE ATT&CK — DET0318](https://attack.mitre.org/detectionstrategies/DET0318)*