det0511-detection-of-data-access-and-collection-from-removable-media

# DET0511 — Detection of Data Access and Collection from Removable Media ## Descrição A coleta de dados a partir de mídias removíveis (pendrives USB, discos externos, cartões SD) é uma técnica de coleta de dados que adversários utilizam tanto para exfiltrar dados copiando para dispositivos removíveis quanto para coletar dados de dispositivos que usuários trazem ao ambiente corporativo. Em ambientes air-gapped ou de alta segurança, essa é frequentemente a única via de exfiltração disponível. A técnica é mapeada como [[t1025-data-from-removable-media|T1025 — Data from Removable Media]] no MITRE ATT&CK. Malwares especializados em espionagem industrial e governamental, como os atribuídos a grupos APT de nação-estado como [[g0020-equation-group|Equation Group]] e [[g0007-apt28|Fancy Bear/APT28]], incluem módulos específicos para automatizar a cópia de arquivos de interesse (documentos Office, PDFs, arquivos de configuração) de quaisquer dispositivos removíveis conectados ao sistema comprometido. Além da coleta automática, adversários podem deixar payloads em mídias removíveis para infectar sistemas air-gapped quando os dispositivos são conectados a eles. A detecção requer monitoramento de eventos de conexão de dispositivos removíveis (Windows Event ID 6416 — Plug and Play device connected), correlacionados com acesso e cópia de arquivos de volumes removíveis. Políticas de DLP (Data Loss Prevention) que restringem o uso de USB e alertam sobre transferências de dados são controles complementares. O monitoramento em tempo real de cópias de arquivos para volumes removíveis, especialmente de diretórios sensíveis, é o indicador primário. ## Indicadores de Detecção - Event ID 6416 (novo dispositivo removível conectado) em host de alta criticidade fora de horário de manutenção - Cópia em massa de arquivos (>10 arquivos em 5 minutos) de diretórios corporativos para volume removível detectado - Acesso a arquivos Office (`.docx`, `.xlsx`, `.pdf`) de drive E:\ ou F:\ (típicos de dispositivos removíveis) - Script automatizado iterando sobre conteúdo de dispositivo removível recém-conectado (padrão de malware USB) - Criação de arquivo de índice ou manifesto de arquivos de dispositivo removível por processo incomum - Cópia de credenciais, configurações de VPN ou chaves SSH de disco removível para diretório local do usuário - Dispositivo USB não gerenciado (não cadastrado no sistema de controle de dispositivos) conectado a estação privilegiada ## Técnicas Relacionadas - [[t1025-data-from-removable-media|T1025 — Data from Removable Media]] - [[t1091-replication-through-removable-media|T1091 — Replication Through Removable Media]] - [[t1052-exfiltration-over-physical-medium|T1052 — Exfiltration Over Physical Medium]] - [[t1120-peripheral-device-discovery|T1120 — Peripheral Device Discovery]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] ## Analytics Relacionadas - [[an1410-analytic-1410|AN1410 — Analytic 1410]] - [[an1411-analytic-1411|AN1411 — Analytic 1411]] - [[an1412-analytic-1412|AN1412 — Analytic 1412]] --- *Fonte: [MITRE ATT&CK — DET0511](https://attack.mitre.org/detectionstrategies/DET0511)*