det0399-detection-strategy-for-scheduled-transfer-and-recurrent-exfiltration-pat

# DET0399 — Detection Strategy for Scheduled Transfer and Recurrent Exfiltration Patterns ## Descrição A exfiltração por transferência agendada é uma técnica em que o adversário configura tarefas recorrentes para enviar dados em janelas temporais específicas — geralmente fora do horário comercial ou durante períodos de baixa visibilidade. Essa abordagem reduz a chance de detecção por alertas volumétricos pontuais e mimetiza comportamento legítimo de backup ou sincronização. A detecção foca em identificar periodicidade anômala no tráfego de saída: transferências que ocorrem nos mesmos intervalos de tempo (ex.: toda madrugada às 02h), para os mesmos destinos externos, com volumes similares. A análise de séries temporais em logs de firewall e proxy é fundamental para revelar esse padrão — técnica também conhecida como "beaconing" quando aplicada a comúnicações C2. Tarefas agendadas (Windows Scheduled Tasks, cron jobs Linux) criadas por usuários sem privilégios administrativos ou associadas a processos de rede não catalogados devem ser revisadas. Grupos como [[g0045-apt10|apt10]], [[g0045-apt10]] e operadores de espionagem corporativa frequentemente utilizam esse mecanismo para exfiltrar dados de forma persistente e silenciosa por longos períodos. ## Indicadores de Detecção - Tráfego de saída com intervalos fixos para o mesmo destino externo (padrão beaconing) - Tarefas agendadas criadas recentemente com ações de transferência de arquivo ou execução de scripts de rede - Uso de utilitários como `curl`, `wget`, `bitsadmin` ou `certutil` em tarefas programadas - Horário de transferência consistentemente fora do padrão de uso do usuário ou sistema - Volume de bytes enviados por sessão mantendo proporção constante ao longo do tempo ## Técnicas Relacionadas - [[t1029-scheduled-transfer|T1029 — Scheduled Transfer]] - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] - [[t1020-automated-exfiltration|T1020 — Automated Exfiltration]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] ## Analytics Relacionadas - [[an1118-analytic-1118|AN1118 — Analytic 1118]] - [[an1119-analytic-1119|AN1119 — Analytic 1119]] - [[an1120-analytic-1120|AN1120 — Analytic 1120]] --- *Fonte: [MITRE ATT&CK — DET0399](https://attack.mitre.org/detectionstrategies/DET0399)*