det0570-detection-strategy-for-exfiltration-to-cloud-storage

# DET0570 — Detection Strategy for Exfiltration to Cloud Storage ## Descrição A exfiltração para serviços de armazenamento em nuvem ([[T1567.002 - Exfiltration Over Web Service to Cloud Storage|T1567.002]]) é uma das técnicas mais comuns em ataques de dupla extorsão de ransomware e espionagem corporativa. Adversários utilizam serviços legítimos como AWS S3, Google Drive, OneDrive, Mega.nz, Box e Dropbox para exfiltrar dados roubados, pois o tráfego para esses domínios raramente é bloqueado por firewalls corporativos e se confunde com uso empresarial legítimo. Grupos como [[cl0p]], [[blackcat]] e [[lockbit]] adotam essa abordagem como padrão operacional. O volume e a velocidade de upload são os principais indicadores: exfiltração legítima raramente excede poucos gigabytes por dia por usuário, enquanto ataques podem atingir dezenas ou centenas de GB em poucas horas. A direção do fluxo (saída maciça) e os tipos de arquivo (arquivos comprimidos, `.zip`, `.rar`, `.7z` com senhas) são também sinais relevantes. Ferramentas como rclone, MEGAcmd e AWS CLI são frequentemente utilizadas para automação da exfiltração. A detecção deve combinar monitoramento de volume de tráfego de saída para domínios de cloud storage, análise de DLP (Data Loss Prevention) em proxies e CASB, e correlação com eventos de compressão/arquivamento de dados no endpoint. Em ambientes com CASB configurado, a detecção de uploads de grandes volumes para buckets não corporativos deve gerar alerta P1. ## Indicadores de Detecção - Upload de > 1GB/hora para domínios de cloud storage (S3, Drive, OneDrive, Mega) - Execução de `rclone`, `MEGAcmd` ou `aws s3 cp` por usuário não-TI - Criação de arquivos `.zip` ou `.7z` de grande volume seguida de upload externo - Acesso a domínio de cloud storage de servidor interno (não workstation) - Processo `curl` ou `wget` com método POST para endpoint de storage cloud - Chave AWS ou token OAuth de cloud storage encontrada em artefato de malware ## Técnicas Relacionadas - [[T1567.002-exfiltration-over-web-service-cloud-storage|T1567.002 — Exfiltration to Cloud Storage]] - [[t1567-exfiltration-over-web-service|T1567 — Exfiltration Over Web Service]] - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] ## Analytics Relacionadas - [[an1571-analytic-1571|AN1571 — Analytic 1571]] - [[an1572-analytic-1572|AN1572 — Analytic 1572]] - [[an1573-analytic-1573|AN1573 — Analytic 1573]] - [[an1574-analytic-1574|AN1574 — Analytic 1574]] --- *Fonte: [MITRE ATT&CK — DET0570](https://attack.mitre.org/detectionstrategies/DET0570)*