# DET0348 — Detection Strategy for Exfiltration Over C2 Channel ## Descrição Esta estratégia detecta exfiltração de dados através do mesmo canal de comunicação de comando e controle (C2) já estabelecido pelo malware, evitando a necessidade de abrir conexões adicionais para exfiltração. A técnica [[t1041-exfiltration-over-c2-channel|T1041-exfiltration-over-c2-channel]] é comum em implantes que já possuem um canal C2 bidirecional e aproveitam esse canal para enviar dados coletados de volta ao operador. A detecção baseia-se na análise de volume e direção do tráfego C2 — sessões C2 que normalmente recebem comandos (baixo volume de saída do endpoint) exibindo repentinamente volume elevado de dados sendo enviados (upload) são indicadores de exfiltração. Análise de baseline de tráfego por sessão C2 conhecida e threshold alerting são abordagens centrais. A identificação do canal C2 preexistente (via detecções de beaconing, análise de DNS, certificados TLS) é prerequisito para esta estratégia. Uma vez identificado o canal C2, monitorar a inversão do padrão de tráfego (download → upload) é altamente eficaz para detectar exfiltração. ## Indicadores de Detecção - Sessão C2 conhecida exibindo volume de upload >10x maior que a baseline da sessão - Dados enviados pelo endpoint em chunks regulares de tamanho fixo (fragmentação de exfiltração) - Transferência de dados imediatamente após acesso a arquivos sensíveis (documentos, bancos de dados) - Compressão ou cifragem de dados no endpoint imediatamente antes de transmissão C2 - Sessão C2 de longa duração com pico repentino de bytes enviados (upload burst) - `rclone`, `rsync` ou utilitários de arquivo sendo invocados por processo C2 implant ## Técnicas Relacionadas - [[t1041-exfiltration-over-c2-channel|T1041-exfiltration-over-c2-channel]] — técnica primária - [[t1071-application-layer-protocol|T1071-application-layer-protocol]] — protocolo de camada de aplicação usado pelo canal C2 - [[t1560-archive-collected-data|T1560-archive-collected-data]] — empacotamento de dados antes da exfiltração via C2 - [[t1030-data-transfer-size-limits|T1030-data-transfer-size-limits]] — limitação de tamanho de transferência para evasão - [[t1048-exfiltration-over-alternative-protocol|T1048-exfiltration-over-alternative-protocol]] — canal alternativo ao C2 para exfiltração ## Analytics Relacionadas - [[an0988-analytic-0988|AN0988 — Analytic 0988]] - [[an0989-analytic-0989|AN0989 — Analytic 0989]] - [[an0990-analytic-0990|AN0990 — Analytic 0990]] - [[an0991-analytic-0991|AN0991 — Analytic 0991]] --- *Fonte: [MITRE ATT&CK — DET0348](https://attack.mitre.org/detectionstrategies/DET0348)*