det0554-detection-of-bluetooth-based-data-exfiltration

# DET0554 — Detection of Bluetooth-Based Data Exfiltration ## Descrição A exfiltração de dados via Bluetooth ([[t1011-001-exfiltration-over-bluetooth|T1011.001 — Exfiltration Over Bluetooth]]) é uma técnica de exfiltração por canal alternativo (out-of-band) onde adversários transferem dados coletados para dispositivos próximos usando conexões Bluetooth, evitando completamente a infraestrutura de rede monitorada. Esta técnica é especialmente relevante em cenários de ameaça interna (insider threat) e em operações de espionagem onde o adversário tem acesso físico ou proximal ao ambiente-alvo. A transferência pode ocorrer via Bluetooth clássico (RFCOMM, OBEX) ou Bluetooth Low Energy (BLE). A detecção é desafiadora porque o tráfego Bluetooth não passa pela infraestrutura de rede tradicional e muitas organizações não monitoram adaptadores Bluetooth nos endpoints. A telemetria necessária inclui: logs do adaptador Bluetooth do sistema operacional (Event ID 1 do Microsoft-Windows-Bluetooth-BthLEEnum), registros de pareamento de novos dispositivos, ativação do adaptador Bluetooth (especialmente em estações de trabalho onde normalmente está desabilitado), e transferências de arquivo via OBEX Push. Em Windows, o monitoramento do serviço `bthserv`, da DLL `bthprops.cpl` e de chamadas a APIs Bluetooth (`BluetoothFindFirstDevice`, `BluetoothSendAuthenticationResponse`) por processos não-esperados fornece visibilidade adicional. No contexto LATAM, esta técnica é particularmente relevante para organizações governamentais e do setor financeiro no Brasil, onde a ameaça de insider malicioso é significativa. Ambientes com dados sensíveis regulados pela LGPD (dados pessoais) ou pelo Banco Central (dados financeiros) devem implementar políticas de controle de dispositivos Bluetooth via EDR ou GPO, complementadas por alertas quando adaptadores Bluetooth são ativados em estações de trabalho de áreas críticas como tesouraria, compliance ou desenvolvimento de sistemas financeiros. ## Indicadores de Detecção - Ativação de adaptador Bluetooth (`bthserv` service start) em estação de trabalho onde o adaptador normalmente está desabilitado por política - Pareamento com dispositivo Bluetooth desconhecido (não presente na lista de dispositivos autorizados da organização) - Transferência de arquivo via OBEX Push para dispositivo externo, especialmente de arquivos com extensões sensíveis (`.xlsx`, `.pdf`, `.csv`, `.zip`, `.7z`) - Processo não-padrão acessando APIs Bluetooth (`BluetoothFindFirstDevice`, `BluetoothSendAuthenticationResponse`) ou carregando `bthprops.cpl` - Volume atípico de dados transmitidos via interface Bluetooth (acima do baseline para operações normais como teclado/mouse wireless) - Ativação de Bluetooth correlacionada temporalmente com acesso a repositórios de dados sensíveis ou operações de staging de arquivos ## Técnicas Relacionadas - [[t1011-001-exfiltration-over-bluetooth|T1011.001 — Exfiltration Over Bluetooth]] — técnica principal coberta por esta estratégia - [[t1011-exfiltration-over-other-network-medium|T1011 — Exfiltration Over Other Network Medium]] — família de exfiltração por canais alternativos - [[t1052-exfiltration-over-physical-medium|T1052 — Exfiltration Over Physical Medium]] — exfiltração via mídia física (USB, disco externo) - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] — empacotamento dos dados antes da exfiltração via Bluetooth - [[t1074-data-staged|T1074 — Data Staged]] — staging de dados em diretório local antes da transferência Bluetooth ## Analytics Relacionadas - [[an1531-analytic-1531|AN1531 — Analytic 1531]] - [[an1532-analytic-1532|AN1532 — Analytic 1532]] - [[an1533-analytic-1533|AN1533 — Analytic 1533]] --- *Fonte: [MITRE ATT&CK — DET0554](https://attack.mitre.org/detectionstrategies/DET0554)*