> [!warning] Aviso Importante
> Este playbook e um ponto de partida baseado em boas práticas públicas. Deve ser revisado e adaptado ao ambiente da organização. Acoes de bloqueio de rede em ambiente de producao devem ser autorizadas pelo CISO e gerente de incidentes. O DPO/juridico deve ser acionado imediatamente se houver indicativo de exposicao de dados pessoais - as obrigações da LGPD (Art. 48) sao temporizadas.
---
## Visão Geral
Exfiltração de dados e o estagio onde o atacante transfere dados coletados para infraestrutura sob seu controle. E frequentemente a ultima fase antes do encerramento da operação (ou antes do deploy de ransomware), e o ponto de maior impacto legal, regulatorio e reputacional para a organização vitima.
A exfiltração pode ocorrer via canais diretos (HTTP PUT, FTP), servicos em nuvem (OneDrive, Google Drive, Mega.nz), DNS tunneling ou ferramentas especializadas como [[s1040-rclone]] - que sincroniza diretamente com provedores de nuvem corporativos.
**Contexto LATAM/Brasil:**
- [[cl0p]] e [[lockbit]] exfiltram dados antes do ransomware para aumentar pressao em negociacoes
- [[g0016-apt29]] exfiltrou dados de organizacoes governamentais via regras de transporte do Exchange
- [[g0099-blind-eagle-apt-c-36]] exfiltra dados financeiros brasileiros via HTTP para IPs em provedores brasileiros e colombianos
- A LGPD (Lei 13.709/2018) exige notificação a ANPD em prazo razoavel (interpretado como 72h) quando ha risco real a titulares
**Canais de exfiltração por ator:**
| Ferramenta | Canal | Atores conhecidos | Dificuldade de detecção |
|-----------|-------|------------------|------------------------|
| [[s1040-rclone]] | Cloud storage (S3, GDrive, Mega) | LockBit, AlphV, Cl0p | Media |
| StealBit | HTTP PUT para IP proprio | LockBit | Media-Alta |
| Cobalt Strike Beacon | HTTPS C2 canal | Maioria dos APTs | Alta |
| curl/wget | HTTP/HTTPS direto | Script-based actors | Baixa |
| DNS tunneling (dnscat2) | DNS recursivo | APTs avancados | Alta |
| FTP/SFTP | TCP 21/22 | Ransomware, script actors | Baixa |
| Mega.nz client | HTTPS | AlphV, LockBit 3.0 | Media |
| Telegram bots | HTTPS API | Grandoreiro, bankers LATAM | Media |
---
## Fluxo de Resposta ao Incidente
```mermaid
flowchart TD
A([Alerta: Exfiltração<br/>Detectada ou Suspeita]) --> B{Confirmar<br/>Exfiltração?}
B -->|Indicios fortes| C[DECLARAR INCIDENTE<br/>Acionar IR Lead + CISO]
B -->|Incerto| D[Investigação Inicial<br/>30 minutos]
D --> B
C --> E[Acionar DPO/Juridico<br/>Avaliacao LGPD imediata]
E --> F{Dados Pessoais<br/>envolvidos?}
F -->|Sim| G[Iniciar Contagem<br/>Relogio LGPD 72h]
F -->|Nao/Incerto| H[Documentar para<br/>avaliacao posterior]
G --> I[CONTENCAO]
H --> I
I --> I1[Bloquear IPs/dominios<br/>de destino no firewall]
I1 --> I2[Isolar hosts que<br/>geraram trafego]
I2 --> I3[Revogar tokens e sessoes<br/>da conta comprometida]
I3 --> I4[Suspender ou monitorar<br/>contas com acesso aos dados]
I4 --> J[FORENSE E ESCOPO]
J --> J1[Identificar QUAIS dados<br/>foram exfiltrados]
J1 --> J2[Quantificar volume<br/>e período de exfiltração]
J2 --> J3[Identificar vetor de<br/>acesso inicial]
J3 --> K[ERRADICACAO]
K --> K1[Remover ferramenta<br/>de exfiltração]
K1 --> K2[Fechar canal usado<br/>Patch / regra de firewall]
K2 --> K3[Resetar credenciais<br/>comprometidas]
K3 --> L[RECUPERACAO + LGPD]
L --> L1{Confirmar exposicao<br/>de dados pessoais?}
L1 -->|Sim| M[Notificar ANPD<br/>Art. 48 LGPD]
L1 -->|Nao| N[Documentar decisao<br/>com parecer juridico]
M --> O[Notificar titulares<br/>afetados se aplicavel]
N --> P([Incidente Encerrado<br/>Post-mortem em 5 dias])
O --> P
style A fill:#ff4444,color:#fff
style C fill:#ff6600,color:#fff
style G fill:#cc6600,color:#fff
style M fill:#8b0000,color:#fff
style P fill:#006600,color:#fff
```
---
## Diagrama LGPD - Cronograma de Notificação
```mermaid
sequenceDiagram
participant SOC as SOC / IR Team
participant CISO as CISO
participant DPO as DPO / Juridico
participant ANPD as ANPD
participant Titulares as Titulares Afetados
SOC->>CISO: T+0: Exfiltração de dados confirmada
CISO->>DPO: T+1h: Acionamento DPO - dados pessoais suspeitos
Note over DPO: Inicio avaliacao LGPD
DPO->>CISO: T+6h: Parecer inicial - dados pessoais confirmados?
CISO->>DPO: T+8h: Confirmacao - CPFs, e-mails, dados financeiros afetados
Note over DPO,ANPD: Relogio Art. 48 comeca aqui
DPO->>ANPD: T+72h MAXIMO: Notificação formal ANPD
Note over DPO: Formulario em anpd.gov.br/comunicação-de-incidentes
ANPD->>DPO: Confirmacao de recebimento + protocolo
DPO->>Titulares: Notificação direta se risco relevante
Note over Titulares: Linguagem clara, sem jargao tecnico
DPO->>CISO: Relatorio de conformidade LGPD
```
---
## Indicadores de Exfiltração em Andamento
> [!danger] Prioridade Maxima
> Exfiltração em andamento significa que dados estao sendo transferidos AGORA. Cada minuto de atraso na contencao aumenta o volume de dados expostos.
### Indicadores de Rede
- Alto volume de transferencia de saida (> 1GB/hora) para IPs externos nao-usuais
- Conexoes HTTP PUT para servicos de cloud storage nao corporativos
- Trafego DNS com subdomains de alta entropia (> 30 chars) para dominios externos
- Transferencias FTP/SFTP de maquinas de producao para IPs externos
- Processos como `rclone.exe`, `mega-sync.exe`, `curl.exe` com conexoes ativas
### Indicadores de Endpoint
- Processo `rclone.exe` ou `robocopy.exe` executando com argumentos para repositorios remotos
- Criação de arquivos `.zip`, `.rar`, `.7z` em diretorios temporarios antes de transferencia
- `cmd.exe` ou `powershell.exe` executando comandos de copia de arquivos em lote
- Acesso massivo a compartilhamentos de rede ou SharePoint em curto período
### Event IDs Relevantes
| EventID | Fonte | Significado |
|---------|-------|------------|
| **4663** | Security | Acesso a objeto (arquivo) - dump de dados sensiveis |
| **4688** | Security | Criação de processo - rclone, curl, certutil |
| **Sysmon 11** | Sysmon | Arquivo criado - archives de staging |
| **Sysmon 3** | Sysmon | Conexão de rede - processo + destino |
| **Sysmon 15** | Sysmon | FileCreateStreamHash - alternate data streams |
---
## Fase 1 - Detecção
### Splunk - Volume Anormal de Transferencia de Saida
```spl
index=proxy OR index=firewall
| stats sum(bytes_out) AS total_bytes by src_ip, dest_ip, dest_port, _time
| where total_bytes > 1073741824
| eval gb_out = round(total_bytes / 1073741824, 2)
| sort -gb_out
| table src_ip, dest_ip, dest_port, gb_out
```
### Splunk - Detecção de Rclone
```spl
index=windows EventCode=4688
(CommandLine="*rclone*copy*" OR CommandLine="*rclone*sync*" OR CommandLine="*rclone*move*"
OR CommandLine="*mega-sync*" OR CommandLine="*megatools*")
| table _time, Computer, User, CommandLine, ParentProcessName
```
### Splunk - DNS Tunneling (Alta Entropia)
```spl
index=dns
| rex field=query "^(?P<sub>[^.]+)\."
| eval sub_len=len(sub)
| where sub_len > 30
| stats count AS query_count, dc(query) AS unique_queries by src_ip, domain
| where query_count > 20 AND unique_queries > 15
| sort -query_count
```
### KQL - Microsoft Sentinel - Exfiltração via Cloud Storage
```kql
DeviceNetworkEvents
| where RemoteUrl has_any (
"mega.nz", "api.mega.co.nz",
"files.1drv.com", "storage.googleapis.com",
"s3.amazonaws.com", "dropboxapi.com",
"myfiles.google.com"
)
| where InitiatingProcessFileName !in~ ("OneDrive.exe", "GoogleDriveSync.exe", "Dropbox.exe")
| summarize Connections = count(), BytesSent = sum(SentBytes)
by DeviceName, InitiatingProcessFileName, RemoteUrl
| where BytesSent > 104857600 // > 100MB
| order by BytesSent desc
```
### KQL - Microsoft Sentinel - Rclone ou Staging de Dados
```kql
DeviceProcessEvents
| where ProcessCommandLine has_any (
"rclone", "megatools", "mega-get", "mega-put",
"certutil -urlcache", "bitsadmin /transfer"
)
or FileName has_any ("rclone.exe", "megatools.exe")
| project Timestamp, DeviceName, AccountName, ProcessCommandLine, FileName
| order by Timestamp desc
```
---
## Fase 2 - Triagem e Investigação
### Perguntas-chave a Responder
- [ ] Qual processo iniciou a transferencia? Processo legitimo ou malicioso?
- [ ] Para qual destino os dados foram enviados? IP? Dominio? Servico de cloud?
- [ ] Quais dados foram acessados antes da transferencia? (EventID 4663 ou DLP logs)
- [ ] Qual usuario/conta estava ativa no momento?
- [ ] Ha evidência de staging (arquivos .zip/.rar) antes da exfiltração?
- [ ] O volume total e estimavel pelos logs de proxy/firewall?
- [ ] Ha dados pessoais (CPF, email, dados financeiros) no conjunto afetado?
- [ ] Quando comecou? Qual e o janela temporal total de exposicao?
### Splunk - Investigação de Escopo (Arquivos Acessados)
```spl
index=windows EventCode=4663 ObjectType=File
| where Account!="SYSTEM" AND Account!="LOCAL SERVICE"
| stats count AS access_count, dc(ObjectName) AS unique_files by Account, Computer, ProcessName
| where access_count > 500
| sort -access_count
```
---
## Fase 3 - Contencao
> [!danger] Acao com Impacto Potencial
> Bloquear IPs no firewall pode impactar servicos legitimos. Isolar hosts pode interromper operacoes criticas. Confirmar autorização com CISO antes de executar em producao.
### Contencao Imediata (primeiros 30 min)
- [ ] Identificar o IP de destino da exfiltração e criar regra de bloqueio no NGFW
- [ ] Isolar o host de origem via EDR (network containment) - manter para forense
- [ ] Revogar tokens OAuth e sessoes ativas da conta comprometida no IdP
- [ ] Se rclone: identificar e revogar tokens de API do servico cloud alvo (Mega, S3, etc.)
- [ ] Suspender ou colocar em monitoramento intensivo contas com acesso aos dados
### Contencao de Longo Prazo
- [ ] Criar regras DLP no proxy para bloquear uploads > X MB para servicos nao-corporativos
- [ ] Implementar User and Entity Behavior Analytics (UEBA) para acesso anormal a arquivos
- [ ] Revisar permissoes de acesso a repositorios de dados sensiveis
---
## Fase 4 - Erradicacao
- [ ] Remover ferramenta de exfiltração (rclone.exe, scripts) de todos os sistemas afetados
- [ ] Identificar e fechar o vetor de acesso inicial (phishing? CVE? IAB?)
- [ ] Resetar credenciais de TODAS as contas que tinham acesso aos dados comprometidos
- [ ] Revogar certificados e tokens de API comprometidos
- [ ] Revisar e remover qualquer backdoor ou persistência deixada pelo atacante
- [ ] Verificar que dados de staging foram removidos dos sistemas
---
## Fase 5 - Recuperacao e Conformidade LGPD
### Avaliacao de Impacto para LGPD (Art. 48)
> [!info] Obrigação Legal
> A Lei Geral de Proteção de Dados (LGPD - Lei 13.709/2018), Art. 48, obriga o controlador a comunicar a ANPD e aos titulares afetados a ocorrencia de incidente de segurança que possa acarretar risco ou dano relevante. O prazo interpretado pela ANPD e de **72 horas** após a confirmacao.
**Checklist de avaliacao LGPD:**
- [ ] Identificar categorias de dados pessoais expostos (Art. 5, I da LGPD)
- [ ] Verificar se ha dados sensiveis (Art. 11) - biometria, saude, racial, religiao, opinioes politicas
- [ ] Estimar número de titulares afetados
- [ ] Avaliar risco real de dano aos titulares (discriminacao, fraude, dano financeiro)
- [ ] Documentar todas as decisoes e justificativas
- [ ] Se risco relevante: notificar ANPD via formulario em anpd.gov.br
**Templaté de notificação ANPD (informacoes minimas Art. 48 §1):**
```
1. Data e hora do incidente (ou estimativa)
2. Natureza dos dados pessoais afetados
3. Número de titulares afetados (estimado)
4. Medidas técnicas e de segurança adotadas
5. Riscos relacionados ao incidente
6. Medidas adotadas para reverter ou mitigar efeitos
```
---
## Ferramentas de Investigação
| Ferramenta | Uso | Comando Chave |
|------------|-----|---------------|
| **Wireshark** | Análise de PCAP - identificar conteudo exfiltrado | Filtro: `http.request.method == "PUT"` |
| **Zeek** | Logs de trafego - correlacionar IP + volume | `conn.log` + `http.log` |
| **tcpdump** | Captura em tempo real se exfiltração ativa | `tcpdump -i eth0 host <ip_destino> -w capture.pcap` |
| **Velociraptor** | Hunt em escala - buscar rclone em todos endpoints | `Windows.Applications.RClone.Artifacts` |
| **NetworkMiner** | Extrair arquivos de captura PCAP | Aba Files |
| **KAPE** | Coletar artefatos forenses do endpoint | Target: `!SANS_Triage` |
| **Autopsy** | Analisar sistema de arquivos em busca de staging | Buscar por .zip/.rar recentes |
---
## Automacao SOAR
### Splunk SOAR - Contencao Automatica
```python
# Trigger: Alerta de exfiltração com volume > 1GB
def auto_contain_exfiltration(container, src_ip, dest_ip):
# 1. Bloquear IP de destino no firewall
phantom.act("block_ip", parameters=[{"ip": dest_ip, "direction": "outbound"}],
app="palo_alto_firewall")
# 2. Isolar host de origem via EDR
phantom.act("quarantine_device", parameters=[{"ip": src_ip}],
app="crowdstrike")
# 3. Criar ticket P1
phantom.act("creaté_ticket", parameters=[{
"summary": f"Exfiltração de Dados - {src_ip} -> {dest_ip}",
"severity": "Critical",
"assign_to": "
[email protected]"
}], app="servicenow")
# 4. Notificar CISO via Slack
phantom.act("send_message", parameters=[{
"channel": "#security-p1",
"message": f"EXFILTRACAO DETECTADA: {src_ip} para {dest_ip}"
}], app="slack")
```
### Microsoft Sentinel - Automation Rule
```kql
// Analytics Rule: Large Data Transfer to Suspicious Destination
// Frequencia: A cada 15 minutos
DeviceNetworkEvents
| where RemotePort !in (80, 443)
| summarize TotalBytes = sum(SentBytes) by DeviceName, RemoteIP, RemotePort, bin(Timestamp, 15m)
| where TotalBytes > 524288000 // > 500MB em 15 minutos
| extend AlertSeverity = "High", AlertName = "Potential Data Exfiltration"
```
---
## Referências
- [[lockbit]] - usa StealBit para exfiltração antes do ransomware
- [[cl0p]] - grupo especializado em exfiltração de dados em massa
- [[g0016-apt29]] - exfiltração via Exchange transport rules
- [[g0099-blind-eagle-apt-c-36]] - exfiltração de dados financeiros no LATAM
- [[s1040-rclone]] - ferramenta de sincronizacao abusada por ransomware
- [[t1048-exfiltration-alternative-protocol|T1048 - Exfiltration Over Alternative Protocol]] - técnica MITRE ATT&CK
- [[t1567-exfiltration-over-web-service|T1567 - Exfiltration Over Web Service]] - abuso de cloud storage
- [[t1560-archive-collected-data|T1560 - Archive Collected Data]] - staging pre-exfiltração
- [[ir-lgpd-breach-notification]] - playbook dedicado a notificação LGPD
- [[_defenses]] - hub de defesas
- [ANPD - Comúnicação de Incidentes](https://www.gov.br/anpd/pt-br/assuntos/incidentes-de-segurança)
- [LGPD Art. 48 - Lei 13.709/2018](https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm)
- [CISA - Data Exfiltration Techniques](https://www.cisa.gov/stopransomware/how-report-ransomware)
---
*Ultima revisao: 2026-03-27 | Proxima revisao recomendada: 2026-09-27*