det0438-detect-archiving-via-custom-method-t1560003

# DET0438 — Detect Archiving via Custom Method (T1560.003) ## Descrição Adversários frequentemente comprimem e arquivam dados coletados antes de exfiltrá-los, utilizando métodos customizados que não dependem de ferramentas de compressão padrão (como `zip`, `7zip` ou `rar`). A técnica T1560.003 abrange o uso de algoritmos de compressão implementados diretamente no código malicioso, bibliotecas incorporadas ou scripts que constroem arquivos comprimidos sem invocar binários externos conhecidos. Essa abordagem é adotada para evitar a detecção baseada em assinatura de ferramentas de arquivamento e para dificultar a inspeção de conteúdo exfiltrado. Em ataques de espionagem e ransomware, é comum que o malware implemente rotinas de compressão LZ77, zlib ou LZMA diretamente em memória antes de transmitir os dados para infraestrutura de C2. A detecção eficaz requer análise comportamental: identificar padrões de acesso sequencial a múltiplos arquivos seguidos de escrita em um único arquivo de saída, uso de chamadas de sistema associadas a operações de compressão customizada, e tráfego de saída com entropia elevada indicando dados comprimidos ou cifrados sem uso de ferramentas conhecidas. ## Indicadores de Detecção - Processo lendo grande volume de arquivos de diferentes diretórios em sequência rápida sem justificativa de negócio - Escrita de arquivo com entropia alta (> 7.5 bits/byte) em diretório temporário ou de usuário - Ausência de chamada a binários de arquivamento externos (`zip.exe`, `7z.exe`, `rar.exe`) antes da criação do arquivo comprimido - Atividade de I/O com padrão característico de compressão: leituras fragmentadas seguidas de escrita serial - Arquivo de saída com extensão incomum ou sem extensão mas com assinatura de bytes de formato comprimido - Processo de alta entropia de I/O combinado com conexão de rede subsequente a IP externo ## Técnicas Relacionadas - [[T1560003-archive-via-custom-method|T1560.003 — Archive via Custom Method]] - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1020-automated-exfiltration|T1020 — Automated Exfiltration]] ## Analytics Relacionadas - [[an1213-analytic-1213|AN1213 — Analytic 1213]] - [[an1214-analytic-1214|AN1214 — Analytic 1214]] - [[an1215-analytic-1215|AN1215 — Analytic 1215]] --- *Fonte: [MITRE ATT&CK — DET0438](https://attack.mitre.org/detectionstrategies/DET0438)*