# DET0896 — Detection of Web Services ## Descrição A estratégia DET0896 complementa a DET0882 com foco em aspectos específicos da detecção de exfiltração de dados através de serviços web legítimos. Enquanto a DET0882 aborda o uso de web services como infraestrutura de C2 e staging, esta estratégia foca no padrão de exfiltração: upload de dados sensíveis corporativos para plataformas cloud legítimas como OneDrive, Google Drive, Dropbox, Box, Mega.nz e similares para exfiltração discreta. A exfiltração via serviços web legítimos é extremamente eficaz porque o tráfego para essas plataformas raramente é inspecionado ou bloqueado em ambientes corporativos, e os volumes de transferência de dados são normalizados como uso empresarial legítimo. Adversários comprimem, criptografam e segmentam dados antes do upload para dificultar detecção por DLP. Grupos APT como APT41 e FIN7 documentaram uso de Google Drive e OneDrive para exfiltração de dados de espionagem corporativa. A detecção requer implementação de soluções DLP (Data Loss Prevention) integradas com inspeção SSL, monitoramento de volume anormal de uploads para serviços cloud específicos, análise de comportamento de upload (horário, tamanho, conta de destino), e controles de acesso a serviços cloud não aprovados via CASB (Cloud Access Security Broker). ## Indicadores de Detecção - Volume incomum de upload para OneDrive, Google Drive ou Dropbox de processo não relacionado a produtividade - Upload de arquivo comprimido com nome genérico ou randômico para serviço de storage cloud externo - Processo com alto acesso a arquivos sensíveis (banco de dados, financeiro) seguido de upload para cloud - Transferência de dados para conta pessoal de serviço cloud por endpoint corporativo fora do horário comercial - DLP alertando sobre dados classificados detectados em upload para plataforma cloud não aprovada - Upload de arquivo acima do limiar de tamanho habitual para o usuário para serviço de sharing externo - Acesso e exfiltração de repositório de documentos internos para serviço cloud em sessão única ## Técnicas Relacionadas - [[t1567-exfiltration-over-web-service|T1567 — Exfiltration Over Web Service]] - [[T1567.002-exfiltration-to-cloud-storage|T1567.002 — Exfiltration to Cloud Storage]] - [[T1567.001-exfiltration-to-code-repository|T1567.001 — Exfiltration to Code Repository]] - [[t1537-transfer-data-to-cloud-account|T1537 — Transfer Data to Cloud Account]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1020-automated-exfiltration|T1020 — Automated Exfiltration]] ## Analytics Relacionadas - [[an2028-analytic-2028|AN2028 — Analytic 2028]] --- *Fonte: [MITRE ATT&CK — DET0896](https://attack.mitre.org/detectionstrategies/DET0896)*