det0512-detection-of-exfiltration-over-asymmetric-encrypted-non-c2-protocol

# DET0512 — Detection of Exfiltration Over Asymmetric Encrypted Non-C2 Protocol ## Descrição A exfiltração de dados via protocolos com criptografia assimétrica (como RSA, ECC) que não são canais de C2 tradicionais é uma técnica de evasão em que adversários transferem dados roubados usando protocolos legítimos — como HTTPS para serviços não-C2, SMTPS, S/MIME encriptado, ou transferências PGP-encrypted — para dificultar a inspeção de conteúdo e atribuição. A técnica está mapeada como [[T1048.002-exfiltration-over-alternative-protocol-encrypted|T1048.002 — Exfiltration Over Asymmetric Encrypted Non-C2 Protocol]] no MITRE ATT&CK. Diferente da exfiltração por canal C2 convencional, que pode ser detectada por padrões de beacon e comunicação bidirecional, a exfiltração sobre protocolos assimétricos não-C2 se disfarça como comunicação legítima de aplicações. O uso de serviços de e-mail externo (Gmail, ProtonMail) com criptografia end-to-end, uploads para repositórios de código (GitHub, GitLab) ou envio de dados via APIs web com TLS torna o conteúdo opaco a inspeção DLP baseada em assinaturas. A detecção comportamental analisa padrões de tráfego de saída: volumes anômalos de dados enviados para destinos específicos, uso incomum de serviços de e-mail externo por contas corporativas, upload para repositórios não aprovados e transmissão de arquivos com extensões de dados sensíveis (`.csv`, `.db`, `.key`) via HTTPS para destinos novos. A correlação entre acesso a dados sensíveis e exfiltração subsequente é o indicador mais confiável. ## Indicadores de Detecção - Volume de dados enviados via HTTPS para serviço externo (Gmail, Outlook.com, GitHub) acima do baseline do usuário - Envio de e-mail com anexos grandes para contas pessoais externas por usuário corporativo - Upload para repositório de código público (GitHub, Pastebin) de arquivo com conteúdo estruturado (CSV, JSON, XML) - Processo de aplicação corporativa estabelecendo conexão para serviço SMTP externo não corporativo - Transferência via SFTP/SCP para servidor externo com certificado RSA sem histórico de comunicação - Arquivo de banco de dados ou backup comprimido enviado via HTTPS para bucket S3 de conta AWS desconhecida - Padrão de tráfego HTTPS com payload de tamanho constante e elevado sugerindo transferência de dados arquivados ## Técnicas Relacionadas - [[T1048.002-exfiltration-over-alternative-protocol-encrypted|T1048.002 — Exfiltration Over Asymmetric Encrypted Non-C2 Protocol]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1567-exfiltration-over-web-service|T1567 — Exfiltration Over Web Service]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] ## Analytics Relacionadas - [[an1413-analytic-1413|AN1413 — Analytic 1413]] - [[an1414-analytic-1414|AN1414 — Analytic 1414]] - [[an1415-analytic-1415|AN1415 — Analytic 1415]] - [[an1416-analytic-1416|AN1416 — Analytic 1416]] --- *Fonte: [MITRE ATT&CK — DET0512](https://attack.mitre.org/detectionstrategies/DET0512)*