det0526-detect-archiving-and-encryption-of-collected-data-t1560

# DET0526 — Detect Archiving and Encryption of Collected Data (T1560) ## Descrição O arquivamento e criptografia de dados coletados ([[t1560-archive-collected-data|T1560 — Archive Collected Data]]) é uma etapa de preparação para exfiltração onde adversários comprimem, arquivam e frequentemente criptografam dados roubados antes de transferi-los para fora da organização. Ferramentas como `7-Zip`, `WinRAR`, `tar`, `gzip` e utilitários de criptografia nativos (`certutil`, `gpg`, `openssl`) são abusadas para empacotar dados sensíveis de forma a reduzir o volume de tráfego de exfiltração e dificultar a inspeção de conteúdo por DLP. Grupos de espionagem como [[g0096-apt41|APT41]] e operadores de ransomware frequentemente criam arquivos `.7z` ou `.zip` protegidos por senha antes da exfiltração. A detecção combina análise de comportamento de processos (criação de grandes arquivos comprimidos em diretórios temporários ou incomuns) com monitoramento de linha de comando para flags de compressão e criptografia. O acesso sequencial a grandes volumes de arquivos por um único processo, seguido imediatamente pela criação de um arquivo comprimido, é um padrão comportamental forte. O uso de `certutil -encode` para converter arquivos binários em Base64 antes de exfiltração via HTTP é uma técnica LOLBin frequentemente observada. O volume e a localização do arquivo resultante são fatores chave: arquivos comprimidos grandes em `%TEMP%`, `C:\Users\Public\` ou `C:\Windows\Temp\` por processos não-backup merecem investigação imediata. A correlação temporal entre a compressão e uma subsequente transferência de rede de volume similar fecha o ciclo de detecção de exfiltração preparada. ## Indicadores de Detecção - Processo de compressão (`7z.exe`, `rar.exe`, `tar`, `zip`) acessando múltiplos diretórios de dados sensíveis em sequência - Criação de arquivo comprimido >50MB em `%TEMP%`, `C:\Users\Public\` ou diretório home temporário - Uso de `certutil -encode` ou `certutil -encodeHex` em arquivos que não sejam certificados/chaves - Flag de senha em linha de comando de ferramenta de compressão: `7z a -p<senha>` ou `rar a -hp<senha>` - `openssl enc`, `gpg --encrypt` ou `gpg --symmetric` por processo não-backup/não-administrativo - Arquivos com extensões `.7z`, `.rar`, `.zip`, `.tar.gz` criados por processos Office, navegador ou shell interativo ## Técnicas Relacionadas - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] — técnica principal coberta por esta estratégia - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] — exfiltração dos dados arquivados - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] — exfiltração via protocolos alternativos - [[t1005-data-from-local-system|T1005 — Data from Local System]] — coleta de dados locais que precede o arquivamento - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] — ofuscação adicional dos dados arquivados ## Analytics Relacionadas - [[an1458-analytic-1458|AN1458 — Analytic 1458]] - [[an1459-analytic-1459|AN1459 — Analytic 1459]] - [[an1460-analytic-1460|AN1460 — Analytic 1460]] --- *Fonte: [MITRE ATT&CK — DET0526](https://attack.mitre.org/detectionstrategies/DET0526)*