# TA0009 — Collection ## Descrição A Coleta engloba as técnicas utilizadas pelo adversário para **reunir dados de interesse** antes da exfiltração. O objetivo é identificar, acessar e preparar dados valiosos para serem roubados: e-mails, documentos confidenciais, dados financeiros, credenciais, código-fonte, dados de clientes, propriedade intelectual. A abordagem varia significativamente conforme o perfil do adversário: grupos de espionagem como [[g0016-apt29|APT29]] fazem coleta silenciosa e prolongada — capturando e-mails específicos de executivos por meses; grupos de ransomware fazem coleta em volume para "dupla extorsão" — comprimindo e exfiltrando grandes volumes de dados antes do ciframento; grupos de crime financeiro focam específicamente em credenciais bancárias e dados de pagamento. A técnica [[t1560-archive-collected-data|T1560 - Archive Collected Data]] é quase universalmente usada antes da exfiltração: compressão com senha (7zip, WinRAR) reduz o tamanho e ofusca o conteúdo durante a transferência. O destino de exfiltração é tipicamente armazenamento em nuvem ([[t1567-002-exfiltration-cloud-storage|T1567.002]]) ou canal C2 existente ([[t1041-exfiltration-c2|T1041]]). ## Posição no Kill Chain ```mermaid graph TB R["Reconhecimento"]:::inactive --> RD["Desenvolvimento<br/>de Recursos"]:::inactive RD --> IA["Acesso Inicial"]:::inactive IA --> EX["Execução"]:::inactive EX --> PE["Persistência"]:::inactive PE --> PR["Esc. Privilégios"]:::inactive PR --> DE["Evasão de Defesas"]:::inactive DE --> CA["Acesso a<br/>Credenciais"]:::inactive CA --> DI["Descoberta"]:::inactive DI --> LM["Mov. Lateral"]:::inactive LM --> CO["📦 Coleta"]:::active CO --> C2["Comando e<br/>Controle"]:::inactive C2 --> EXF["Exfiltração"]:::inactive EXF --> IM["Impacto"]:::inactive classDef active fill:#e74c3c,color:#fff,stroke:#c0392b,stroke-width:3px classDef inactive fill:#2c3e50,color:#95a5a6,stroke:#1a252f ``` ## Técnicas desta Tática no Vault %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Nota", mitre-id AS "ID", title AS "Técnica", platforms AS "Plataformas" FROM "ttp/techniques" WHERE contains(mitre-tactic, "Collection") SORT mitre-id ASC ``` %% <!-- QueryToSerialize: TABLE WITHOUT ID link(file.link, title) AS "Nota", mitre-id AS "ID", title AS "Técnica", platforms AS "Plataformas" FROM "ttp/techniques" WHERE contains(mitre-tactic, "Collection") SORT mitre-id ASC --> <!-- SerializedQuery: TABLE WITHOUT ID link(file.link, title) AS "Nota", mitre-id AS "ID", title AS "Técnica", platforms AS "Plataformas" FROM "ttp/techniques" WHERE contains(mitre-tactic, "Collection") SORT mitre-id ASC --> | Nota | ID | Técnica | Plataformas | | ------------------------------------------------------------------------------------------------------------------------------------------- | --------- | ----------------------------------------------------- | ---------------------------------------------------------------------------------------------------- | | [[t1005-data-from-local-system\|T1005 - Data from Local System]] | T1005 | T1005 - Data from Local System | <ul><li>ESXi</li><li>Linux</li><li>macOS</li><li>Network Devices</li><li>Windows</li></ul> | | [[t1025-data-from-removable-media\|T1025 - Data from Removable Media]] | T1025 | T1025 - Data from Removable Media | <ul><li>Linux</li><li>macOS</li><li>Windows</li></ul> | | [[t1039-data-from-network-shared-drive\|T1039 - Data from Network Shared Drive]] | T1039 | T1039 - Data from Network Shared Drive | <ul><li>Linux</li><li>macOS</li><li>Windows</li></ul> | | [[t1056-input-capture\|T1056 - Input Capture]] | T1056 | T1056 - Input Capture | <ul><li>Linux</li><li>macOS</li><li>Network Devices</li><li>Windows</li></ul> | | [[t1056-001-keylogging\|T1056.001 - Keylogging]] | T1056.001 | T1056.001 - Keylogging | <ul><li>Linux</li><li>macOS</li><li>Network Devices</li><li>Windows</li></ul> | | [[t1056-002-gui-input-capture\|T1056.002 - GUI Input Capture]] | T1056.002 | T1056.002 - GUI Input Capture | <ul><li>macOS</li><li>Windows</li><li>Linux</li></ul> | | [[t1056-003-web-portal-capture\|T1056.003 - Web Portal Capture]] | T1056.003 | T1056.003 - Web Portal Capture | <ul><li>Linux</li><li>macOS</li><li>Windows</li></ul> | | [[t1056-004-credential-api-hooking\|T1056.004 - Credential API Hooking]] | T1056.004 | T1056.004 - Credential API Hooking | <ul><li>Windows</li><li>Linux</li><li>macOS</li></ul> | | [[t1074-data-staged\|T1074 - Data Staged]] | T1074 | T1074 - Data Staged | <ul><li>Windows</li><li>IaaS</li><li>Linux</li><li>macOS</li><li>ESXi</li></ul> | | [[t1074-001-local-data-staging\|T1074.001 - Local Data Staging]] | T1074.001 | T1074.001 - Local Data Staging | <ul><li>ESXi</li><li>Linux</li><li>macOS</li><li>Windows</li></ul> | | [[t1074-002-remote-data-staging\|T1074.002 - Remote Data Staging]] | T1074.002 | T1074.002 - Remote Data Staging | <ul><li>Windows</li><li>IaaS</li><li>Linux</li><li>macOS</li><li>ESXi</li></ul> | | [[t1113-screen-capture\|T1113 - Screen Capture]] | T1113 | T1113 - Screen Capture | <ul><li>Linux</li><li>Windows</li><li>macOS</li></ul> | | [[t1114-email-collection\|T1114 - Email Collection]] | T1114 | T1114 - Email Collection | <ul><li>Windows</li><li>macOS</li><li>Linux</li><li>Office Suite</li></ul> | | [[t1114-001-local-email-collection\|T1114.001 - Local Email Collection]] | T1114.001 | T1114.001 - Local Email Collection | <ul><li>Windows</li></ul> | | [[t1114-002-remote-email-collection\|T1114.002 - Remote Email Collection]] | T1114.002 | T1114.002 - Remote Email Collection | <ul><li>Windows</li><li>Office Suite</li></ul> | | [[t1114-003-email-forwarding-rule\|T1114.003 - Email Forwarding Rule]] | T1114.003 | T1114.003 - Email Forwarding Rule | <ul><li>Linux</li><li>macOS</li><li>Office Suite</li><li>Windows</li></ul> | | [[t1115-clipboard-data\|T1115 - Clipboard Data]] | T1115 | T1115 - Clipboard Data | <ul><li>Linux</li><li>macOS</li><li>Windows</li></ul> | | [[t1119-automated-collection\|T1119 - Automated Collection]] | T1119 | T1119 - Automated Collection | <ul><li>IaaS</li><li>Linux</li><li>macOS</li><li>Office Suite</li><li>SaaS</li><li>Windows</li></ul> | | [[t1123-audio-capture\|T1123 - Audio Capture]] | T1123 | T1123 - Audio Capture | <ul><li>Linux</li><li>macOS</li><li>Windows</li></ul> | | [[t1125-video-capture\|T1125 - Video Capture]] | T1125 | T1125 - Video Capture | <ul><li>Windows</li><li>macOS</li><li>Linux</li></ul> | | [[t1185-browser-session-hijacking\|T1185 - Browser Session Hijacking]] | T1185 | T1185 - Browser Session Hijacking | <ul><li>Windows</li></ul> | | [[t1213-data-from-information-repositories\|T1213 - Data from Information Repositories]] | T1213 | T1213 - Data from Information Repositories | <ul><li>Linux</li><li>Windows</li><li>macOS</li><li>SaaS</li><li>IaaS</li><li>Office Suite</li></ul> | | [[t1213-001-confluence\|T1213.001 - Confluence]] | T1213.001 | T1213.001 - Confluence | <ul><li>SaaS</li></ul> | | [[t1213-002-sharepoint\|T1213.002 - Sharepoint]] | T1213.002 | T1213.002 - Sharepoint | <ul><li>Windows</li><li>Office Suite</li></ul> | | [[t1213-003-code-repositories\|T1213.003 - Code Repositories]] | T1213.003 | T1213.003 - Code Repositories | <ul><li>SaaS</li></ul> | | [[t1213-004-customer-relationship-management-software\|T1213.004 - Customer Relationship Management Software]] | T1213.004 | T1213.004 - Customer Relationship Management Software | <ul><li>SaaS</li></ul> | | [[t1213-005-messaging-applications\|T1213.005 - Messaging Applications]] | T1213.005 | T1213.005 - Messaging Applications | <ul><li>SaaS</li><li>Office Suite</li></ul> | | [[t1213-006-databases\|T1213.006 - Databases]] | T1213.006 | T1213.006 - Databases | <ul><li>Linux</li><li>Windows</li><li>macOS</li><li>IaaS</li><li>SaaS</li></ul> | | [[t1417-input-capture-android\|T1417 - Input Capture (Android)]] | T1417 | T1417 - Input Capture (Android) | <ul><li>Android</li><li>iOS</li></ul> | | [[t1417-002-gui-input-capture\|T1417.002 - Input Capture: GUI Input Capture]] | T1417.002 | T1417.002 - Input Capture: GUI Input Capture | <ul><li>Android</li><li>iOS</li></ul> | | [[t1417-002-input-capture\|T1417.002 - Input Capture: Keystroke Capture]] | T1417.002 | T1417.002 - Input Capture: Keystroke Capture | <ul><li>Android</li><li>iOS</li></ul> | | [[t1430-location-tracking\|T1430 - Location Tracking]] | T1430 | T1430 - Location Tracking | <ul><li>Android</li><li>iOS</li></ul> | | [[t1433-access-contact-list\|T1433 - Access Contact List]] | T1433 | T1433 - Access Contact List | <ul><li>Android</li><li>iOS</li></ul> | | [[t1513-screen-capture\|T1513 - Screen Capture]] | T1513 | T1513 - Screen Capture | <ul><li>Android</li><li>iOS</li></ul> | | [[t1530-data-from-cloud-storage\|T1530 - Data from Cloud Storage]] | T1530 | T1530 - Data from Cloud Storage | <ul><li>IaaS</li><li>Office Suite</li><li>SaaS</li></ul> | | [[t1533-data-from-local-system\|T1533 - Data from Local System]] | T1533 | T1533 - Data from Local System | <ul><li>Android</li><li>iOS</li></ul> | | [[t1560-archive-collected-data\|T1560 - Archive Collected Data]] | T1560 | T1560 - Archive Collected Data | <ul><li>Linux</li><li>macOS</li><li>Windows</li></ul> | | [[t1560-001-archive-via-utility\|T1560.001 - Archive via Utility]] | T1560.001 | T1560.001 - Archive via Utility | <ul><li>Linux</li><li>macOS</li><li>Windows</li></ul> | | [[t1560-002-archive-via-library\|T1560.002 - Archive via Library]] | T1560.002 | T1560.002 - Archive via Library | <ul><li>Linux</li><li>macOS</li><li>Windows</li></ul> | | [[t1560-003-archive-via-custom-method\|T1560.003 - Archive via Custom Method]] | T1560.003 | T1560.003 - Archive via Custom Method | <ul><li>Linux</li><li>macOS</li><li>Windows</li></ul> | | [[t1602-data-from-configuration-repository\|T1602 - Data from Configuration Repository]] | T1602 | T1602 - Data from Configuration Repository | <ul><li>Network Devices</li></ul> | | [[t1602-001-snmp-mib-dump\|T1602.001 - SNMP (MIB Dump)]] | T1602.001 | T1602.001 - SNMP (MIB Dump) | <ul><li>Network Devices</li></ul> | | [[t1602-002-network-device-configuration-dump\|T1602.002 - Network Device Configuration Dump]] | T1602.002 | T1602.002 - Network Device Configuration Dump | <ul><li>Network Devices</li></ul> | | [[t1636-contact-list\|T1636 - Collection (Contact List)]] | T1636 | T1636 - Collection (Contact List) | <ul><li>Android</li><li>iOS</li></ul> | | [[t1636-004-sms-messages\|T1636.004 - Collection: SMS Messages]] | T1636.004 | T1636.004 - Collection: SMS Messages | <ul><li>Android</li><li>iOS</li></ul> | | [[t1638-system-information-discovery\|T1638 - System Information Discovery]] | T1638 | T1638 - System Information Discovery | <ul><li>Android</li><li>iOS</li></ul> | <!-- SerializedQuery END --> ## Mindmap — Técnicas de Coleta ```mermaid mindmap root((TA0009<br/>Collection)) Dados Locais T1005 Data from Local System T1025 Data from Removable Media T1039 Data from Network Shared Drive T1213 Data from Information Repositories E-mail e Comúnicação T1114 Email Collection T1114.001 Local Email Collection T1114.002 Remote Email Collection T1530 Data from Cloud Storage Captura de Input T1056 Input Capture T1056.001 Keylogging T1115 Clipboard Data T1113 Screen Capture T1125 Video Capture Sessão Web T1185 Browser Session Hijacking T1539 Steal Web Session Cookie Preparação T1560 Archive Collected Data 7zip com senha WinRAR T1074 Data Staged ``` ## Atores que Utilizam esta Tática | Ator | Foco de Coleta | |------|---------------| | [[Cozy Bear]] | E-mails de diplomatas, documentos governamentais, código-fonte | | [[Fancy Bear]] | E-mails políticos, documentos de campanhas eleitorais | | [[g0032-lazarus-group\|Lazarus Group]] | Dados financeiros, credenciais de exchanges de crypto | | [[TA505]] | Dados corporativos massivos para dupla extorsão | | [[lockbit\|LockBit Operators]] | Volume máximo de dados antes do deploy do ransomware | ## Detecção e Mitigação ### Detecção - **DLP (Data Loss Prevention):** Alertas para acesso em volume a arquivos sensíveis - **File Access Monitoring:** Leitura de grandes volumes de arquivos por processo não-esperado - **Email Access Logs:** Acesso a caixas de e-mail de outros usuários (EWS, MAPI anômalo) - **Clipboard Monitoring:** EDR com capacidade de monitorar acesso à área de transferência - **Process Monitoring:** 7zip/WinRAR executados em diretórios de dados sensíveis ### Mitigação - **DLP Corporativo:** Categorização e proteção de dados sensíveis (Microsoft Purview, Symantec DLP) - **Email Auditing:** Logs detalhados de acesso ao Exchange/M365 (EWS, MAPI) - **Rights Management (IRM/AIP):** Criptografia de documentos sensíveis que persiste mesmo após download - **Monitoramento de compartilhamentos:** Alertas para acessos fora do horário comercial a shares de arquivo ## Relevância LATAM/Brasil No contexto de espionagem corporativa e governamental no Brasil, a coleta foca em dados estratégicos: contratos de petróleo e gás (Petrobras), negociações diplomáticas, dados de licitações públicas. Para grupos de crime financeiro, o alvo é diferente: dados de cartão, credenciais bancárias e informações de PIX. O duplo extortion model adotado por grupos de ransomware operando no Brasil inclui sites de vazamento (data leak sites) onde públicam amostras de dados roubados para pressionar a vítima. Isso tornou a coleta uma fase crítica — sem dados exfiltrados, não há alavancagem para extorsão. - [[ta0008-lateral-movement|TA0008 - Lateral Movement]] — fase anterior - [[ta0011-command-and-control|TA0011 - Command and Control]] — fase de infraestrutura C2 - [[ta0010-exfiltration|TA0010 - Exfiltration]] — fase seguinte (envio dos dados) - [[t1560-archive-collected-data|T1560 - Archive Collected Data]] — compressão pré-exfiltração - [[t1114-email-collection|T1114 - Email Collection]] — coleta de e-mails corporativos - [[t1005-data-from-local-system|T1005 - Data from Local System]] — coleta de arquivos locais - [[t1056-input-capture|T1056 - Input Capture]] — keylogging e clipboard - [[ Cozy Bear]] — referência de coleta de espionagem de longo prazo - [[_techniques|Índice de Técnicas]] — visão geral de todas as técnicas documentadas ## Referências - [[ta0009-*|MITRE ATT&CK - TA0009 Collection]] - [CISA — Data Security](https://www.cisa.gov/topics/cybersecurity-best-practices/data-security)