# DET0503 — Behavioral Detection Strategy for Exfiltration Over Symmetric Encrypted Non-C2 Protocol ## Descrição A exfiltração de dados usando criptografia simétrica (AES, ChaCha20, XOR com chave) sobre protocolos que não são canais de C2 tradicionais é uma técnica de evasão que adversários usam para transferir dados roubados sem acionar regras de detecção de exfiltração baseadas em protocolos conhecidos de C2. Isso inclui uso de SSH, SCP, SFTP, e túneis personalizados sobre TCP/UDP com criptografia customizada que imita tráfego legítimo. A técnica está relacionada a [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] no MITRE ATT&CK. A detecção puramente baseada em conteúdo é ineficaz contra exfiltração criptografada, pois o payload é indistinguível de tráfego legítimo criptografado. A estratégia comportamental foca em: volume de dados enviados (anômalo em relação ao baseline do host), destino da transferência (IP/ASN de baixa reputação, recém-criado), padrão temporal (exfiltração em horário off-peak ou em burst após período de inatividade), e processo responsável pela transferência. Grupos APT utilizam esta técnica para exfiltrar dados de forma furtiva. [[g0096-apt41|APT41]], por exemplo, usou SSH reverso com criptografia customizada para exfiltrar dados de redes segmentadas. A correlação entre a fase de coleta (compressão e arquivamento de dados) e a fase de transferência (upload via protocolo não-C2) é um indicador de alta fidelidade desta cadeia de comportamento. ## Indicadores de Detecção - Volume de dados enviados para destino externo significativamente acima do baseline diário do host - Conexão SSH/SFTP de um servidor de produção para IP externo não listado em whitelist de acesso - Tráfego com alta entropia (indicativo de criptografia) em porta não padrão para destino de baixa reputação - Processo comprimindo arquivos (tar, 7z, zip) seguido de transferência via protocolo não-C2 em sequência - Transferência de dados grande (>100MB) em sessão única via protocolo como FTPS/SFTP para novo destino - Processo invocando biblioteca de criptografia (AES, ChaCha20) antes de estabelecer conexão de rede de saída - Horário anômalo de transferência: bulk upload em horário de baixa atividade (madrugada, fins de semana) ## Técnicas Relacionadas - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[T1048.002-exfiltration-over-alternative-protocol-encrypted|T1048.002 — Exfiltration Over Asymmetric Encrypted Non-C2 Protocol]] - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] ## Analytics Relacionadas - [[an1389-analytic-1389|AN1389 — Analytic 1389]] - [[an1390-analytic-1390|AN1390 — Analytic 1390]] - [[an1391-analytic-1391|AN1391 — Analytic 1391]] - [[an1392-analytic-1392|AN1392 — Analytic 1392]] --- *Fonte: [MITRE ATT&CK — DET0503](https://attack.mitre.org/detectionstrategies/DET0503)*