det0548-detection-strategy-for-exfiltration-over-web-service

# DET0548 — Detection Strategy for Exfiltration Over Web Service ## Descrição A exfiltração via serviços web ([[t1567-exfiltration-over-web-service|T1567 — Exfiltration Over Web Service]]) é a técnica de exfiltração mais prevalente em ambientes corporativos modernos porque abusa de serviços legítimos e amplamente utilizados — como OneDrive, Dropbox, Google Drive, GitHub, Pastebin, Slack, Discord e serviços de cloud storage — que geralmente têm tráfego HTTPS permitido pelos firewalls corporativos. Adversários configuram destinos de exfiltração nesses serviços usando contas gratuitas criadas específicamente para o ataque, transferindo dados sensíveis sob o manto de tráfego empresarial legítimo. APTs como [[g0016-apt29|APT29]] e grupos de ransomware dupla-extorsão como [[blackcat|ALPHV/BlackCat]] utilizam extensivamente esta técnica. A detecção foca em anomalias de volume de upload, destinos de serviços cloud e comportamento de processo. Um endpoint corporativo que repentinamente envia 500MB para o OneDrive pessoal de um usuário (não o OneDrive corporativo) representa um padrão muito diferente do baseline. A análise do UserAgent HTTP, tokens de autenticação (conta corporativa versus conta pessoal) e URLs de destino nos serviços cloud é fundamental — uploads para `/personal/` no OneDrive versus `/b2b/` no SharePoint corporativo são exemplos de discriminação. O monitoramento de DLP (Data Loss Prevention) com inspeção de conteúdo HTTPS (SSL inspection) em proxies corporativos é o controle mais abrangente, mas é complementado por análise de NetFlow para volume anômalo de upload, correlação com eventos de acesso a arquivos sensíveis que precedem a exfiltração, e alertas de CASB (Cloud Access Security Broker) para uso de aplicações cloud não-sancionadas. A implementação de bloqueio de serviços cloud não-aprovados via proxy é a contramedida preventiva. ## Indicadores de Detecção - Upload HTTPS de volume > 100MB para serviço cloud (Dropbox, OneDrive pessoal, Google Drive, WeTransfer) por processo não-backup - Acesso a serviço cloud de compartilhamento de arquivos não-corporativo aprovado por processo que normalmente não o utiliza - Volume de upload para serviço cloud > 5x a média histórica diária do endpoint em uma única sessão - Processo que acessou arquivos sensíveis (`.docx`, `.xlsx`, `.pdf` em pastas de dados) seguido de upload para serviço externo - Conexão HTTPS para domínio de paste/snippet (pastebin.com, paste.ee, hastebin) com método POST de tamanho significativo - User-agent de automação Python (`python-requests`, `urllib`) ou PowerShell fazendo uploads para APIs de cloud storage ## Técnicas Relacionadas - [[t1567-exfiltration-over-web-service|T1567 — Exfiltration Over Web Service]] — técnica principal coberta por esta estratégia - [[t1567-002-exfiltration-to-cloud-storage|T1567.002 — Exfiltration to Cloud Storage]] — subtécnica de exfiltração para cloud storage - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] — arquivamento de dados antes da exfiltração - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] — técnica alternativa de exfiltração - [[t1005-data-from-local-system|T1005 — Data from Local System]] — coleta de dados locais que precede exfiltração ## Analytics Relacionadas - [[an1511-analytic-1511|AN1511 — Analytic 1511]] - [[an1512-analytic-1512|AN1512 — Analytic 1512]] - [[an1513-analytic-1513|AN1513 — Analytic 1513]] - [[an1514-analytic-1514|AN1514 — Analytic 1514]] - [[an1515-analytic-1515|AN1515 — Analytic 1515]] --- *Fonte: [MITRE ATT&CK — DET0548](https://attack.mitre.org/detectionstrategies/DET0548)*