# DET0397 — Automated Exfiltration Detection Strategy ## Descrição A exfiltração automatizada ocorre quando adversários utilizam mecanismos programáticos para transferir dados coletados de forma contínua e sem intervenção manual, frequentemente aproveitando ferramentas ou scripts integrados ao próprio malware. Diferentemente da exfiltração manual, os padrões automatizados tendem a gerar transferências regulares, em horários fixos ou imediatamente após a coleta, o que cria anomalias mensuráveis no tráfego de rede. A estratégia de detecção foca na identificação de fluxos de dados com alto volume, periodicidade suspeita ou destinos não catalogados no baseline da organização. Ferramentas de monitoramento de rede devem ser configuradas para alertar sobre transferências que excedam limiares volumétricos estabelecidos, especialmente para protocolos como HTTP/S, FTP, DNS e SMTP fora dos padrões normais de uso. A correlação com eventos de endpoint — como execução de scripts de arquivamento, acesso massivo a arquivos ou uso de ferramentas de compressão — eleva significativamente a confiança do alerta. Grupos como [[g0032-lazarus-group]], [[g0016-apt29]] e operadores de ransomware frequentemente automatizam a fase de exfiltração antes do impacto final. ## Indicadores de Detecção - Volume de tráfego de saída excedendo o baseline estabelecido por host ou usuário - Transferências para IPs ou domínios externos não presentes no inventário de destinos aprovados - Uso de ferramentas de compressão (7z, WinRAR, tar) seguido de conexão de rede - Execução agendada (cron, Scheduled Tasks) correlacionada com picos de transferência - Bytes enviados por processo anômalo comparado ao comportamento histórico ## Técnicas Relacionadas - [[t1020-automated-exfiltration|T1020 — Automated Exfiltration]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1030-data-transfer-size-limits|T1030 — Data Transfer Size Limits]] - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] ## Analytics Relacionadas - [[an1113-analytic-1113|AN1113 — Analytic 1113]] - [[an1114-analytic-1114|AN1114 — Analytic 1114]] - [[an1115-analytic-1115|AN1115 — Analytic 1115]] --- *Fonte: [MITRE ATT&CK — DET0397](https://attack.mitre.org/detectionstrategies/DET0397)*