det0380-detection-of-local-data-collection-prior-to-exfiltration

# DET0380 — Detection of Local Data Collection Prior to Exfiltration ## Descrição Antes de exfiltrar dados, adversários tipicamente realizam uma fase de staging local onde coletam, consolidam e comprimem os dados de interesse em um ou poucos arquivos de destino. Essa fase intermediária — entre a descoberta de dados valiosos e o envio para infraestrutura controlada pelo atacante — cria uma janela de detecção crítica. Ferramentas como `7-Zip`, `WinRAR`, `tar`, `zip` e scripts customizados são usados para criar arquivos comprimidos contendo documentos, credenciais, emails e propriedade intelectual identificada na fase anterior de enumeração. O padrão comportamental característico inclui: leitura de múltiplos arquivos de interesse seguida de criação de arquivo comprimido de grande volume, frequentemente em locais de staging como `%TEMP%`, `%APPDATA%` ou raiz de disco, precedendo conexões de rede de saída de volume anômalo. Campanhas de espionagem corporativa e grupos de ransomware como [[lockbit|LockBit]], [[blackcat|ALPHV]] e [[cl0p|Cl0p]] utilizam staging de dados antes de exfiltração — geralmente comprimindo gigabytes de dados em segmentos de poucos GB para envio por HTTPS/FTP. A detecção correlaciona eventos de criação de arquivo comprimido com conteúdo de alto volume, origem dos arquivos incluídos (caminhos sensíveis), e janela temporal próxima a conexões de rede externas de alto volume — especialmente para destinos em nuvem (Mega, DropBox APIs, serviços de file sharing). ## Indicadores de Detecção - Criação de arquivo `.zip`, `.7z`, `.rar` ou `.tar.gz` > 100 MB em `%TEMP%` ou path de usuário - `7z.exe a` ou `winrar.exe` adicionando arquivos de múltiplos diretórios de usuários distintos - Arquivo comprimido criado em disco seguido de upload para IP externo em < 60 segundos - Leitura de > 100 arquivos únicos em menos de 30 segundos por um único processo - Compressão de diretórios de email (`.pst`, `.ost`) ou banco de dados por conta não-administrativa - Criação de múltiplos volumes de arquivo comprimido (`.part1.rar`, `.part2.rar`) indicando staging fracionado ## Técnicas Relacionadas - [[T1074001-local-data-staging|T1074.001 — Local Data Staging]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[T1560001-archive-via-utility|T1560.001 — Archive via Utility]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1083-file-and-directory-discovery|T1083 — File and Directory Discovery]] ## Analytics Relacionadas - [[an1070-analytic-1070|AN1070 — Analytic 1070]] - [[an1071-analytic-1071|AN1071 — Analytic 1071]] - [[an1072-analytic-1072|AN1072 — Analytic 1072]] - [[an1073-analytic-1073|AN1073 — Analytic 1073]] - [[an1074-analytic-1074|AN1074 — Analytic 1074]] --- *Fonte: [MITRE ATT&CK — DET0380](https://attack.mitre.org/detectionstrategies/DET0380)*