det0484-multi-platform-cloud-storage-exfiltration-behavior-chain

# DET0484 — Multi-Platform Cloud Storage Exfiltration Behavior Chain ## Descrição A exfiltração de dados via serviços de armazenamento em nuvem (Google Drive, OneDrive, Dropbox, Box, Mega) é uma técnica amplamente utilizada por adversários para transferir dados roubados aproveitando canais de comunicação legítimos e frequentemente permitidos por políticas corporativas. Essa abordagem é classificada como [[T1567.002-exfiltration-over-web-service-bidirectional|T1567.002 — Exfiltration Over Web Service: Exfiltration to Cloud Storage]] no MITRE ATT&CK. A natureza multi-plataforma desta estratégia cobre Windows, macOS e Linux. A cadeia de comportamento detectável tipicamente inclui: coleta e compressão de dados de interesse → autenticação em serviço de nuvem via API ou cliente → upload em volumes anormais ou para contas pessoais externas. Ferramentas como `rclone`, `MEGAcmd`, clientes de linha de comando do OneDrive e scripts Python com SDK do Google Drive são frequentemente utilizados por grupos APT e operadores de ransomware para exfiltração automatizada antes da fase de criptografia. Grupos como [[g0096-apt41|APT41]], [[g0032-lazarus-group|Lazarus Group]] e operadores de ransomware como [[blackcat|BlackCat/ALPHV]] documentadamente usam serviços de nuvem legítimos para exfiltração, tornando a detecção por bloqueio de domínio ineficaz. A estratégia foca em análise comportamental: volumes anômalos de transferência, uso de ferramentas CLI de sincronização não corporativas e padrões de upload fora do horário de trabalho. ## Indicadores de Detecção - Upload de volume anormalmente alto (>500MB) para serviço de nuvem em sessão única por usuário ou host - Execução de `rclone`, `MEGAcmd` ou clientes de linha de comando de nuvem não aprovados corporativamente - Autenticação em API de serviço de nuvem (OAuth) por processo que não é o cliente corporativo padrão - Transferência de dados para conta de armazenamento pessoal (não corporativa) identificada por domínio ou token - Compressão de múltiplos arquivos em formato .zip/.7z seguida imediatamente de upload para serviço externo - Processo de exfiltração usando User-Agent incomum nas requisições HTTPS para APIs de armazenamento - Upload de dados fora do horário de expediente ou por conta de serviço sem histórico de uso de nuvem ## Técnicas Relacionadas - [[T1567.002-exfiltration-over-web-service-bidirectional|T1567.002 — Exfiltration to Cloud Storage]] - [[t1567-exfiltration-over-web-service|T1567 — Exfiltration Over Web Service]] - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1071-001-web-protocols|T1071.001 — Web Protocols]] ## Analytics Relacionadas - [[an1328-analytic-1328|AN1328 — Analytic 1328]] - [[an1329-analytic-1329|AN1329 — Analytic 1329]] - [[an1330-analytic-1330|AN1330 — Analytic 1330]] --- *Fonte: [MITRE ATT&CK — DET0484](https://attack.mitre.org/detectionstrategies/DET0484)*