# TA0010 — Exfiltration ## Descrição A Exfiltração representa o momento em que os dados coletados **saem da rede da vítima** em direção à infraestrutura controlada pelo adversário. É a consumação do objetivo de espionagem ou o primeiro elemento do modelo de dupla extorsão em ataques de ransomware. A detecção nesta fase representa uma das últimas oportunidades de conter o vazamento antes que os dados se tornem irrecuperáveis. As técnicas de exfiltração são projetadas para se misturar com o tráfego legítimo: uso do canal C2 existente ([[t1041-exfiltration-c2|T1041]]), upload para serviços de nuvem reconhecidos ([[t1567-002-exfiltration-cloud-storage|OneDrive, Google Drive, MEGA]]), ou protocolos alternativos ([[t1048-exfiltration-alternative-protocol|DNS, ICMP, FTP encriptado]]). O volume de dados exfiltrados em ataques modernos é massivo — grupos de ransomware como [[cl0p|Cl0p]] exfiltraram terabytes de dados de centenas de organizações via uma única vulnerabilidade. A compressão com senha ([[t1560-archive-collected-data|T1560]]) realizada na fase de Coleta é essencial para a exfiltração eficiente: reduz o tamanho dos dados e torna o conteúdo ilegível para inspeção de DLP baseada em conteúdo. ## Posição no Kill Chain ```mermaid graph TB R["Reconhecimento"]:::inactive --> RD["Desenvolvimento<br/>de Recursos"]:::inactive RD --> IA["Acesso Inicial"]:::inactive IA --> EX["Execução"]:::inactive EX --> PE["Persistência"]:::inactive PE --> PR["Esc. Privilégios"]:::inactive PR --> DE["Evasão de Defesas"]:::inactive DE --> CA["Acesso a<br/>Credenciais"]:::inactive CA --> DI["Descoberta"]:::inactive DI --> LM["Mov. Lateral"]:::inactive LM --> CO["Coleta"]:::inactive CO --> C2["Comando e<br/>Controle"]:::inactive C2 --> EXF["📤 Exfiltração"]:::active EXF --> IM["Impacto"]:::inactive classDef active fill:#e74c3c,color:#fff,stroke:#c0392b,stroke-width:3px classDef inactive fill:#2c3e50,color:#95a5a6,stroke:#1a252f ``` ## Técnicas desta Tática no Vault %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Nota", mitre-id AS "ID", title AS "Técnica", platforms AS "Plataformas" FROM "ttp/techniques" WHERE contains(mitre-tactic, "Exfiltration") SORT mitre-id ASC ``` %% <!-- QueryToSerialize: TABLE WITHOUT ID link(file.link, title) AS "Nota", mitre-id AS "ID", title AS "Técnica", platforms AS "Plataformas" FROM "ttp/techniques" WHERE contains(mitre-tactic, "Exfiltration") SORT mitre-id ASC --> <!-- SerializedQuery: TABLE WITHOUT ID link(file.link, title) AS "Nota", mitre-id AS "ID", title AS "Técnica", platforms AS "Plataformas" FROM "ttp/techniques" WHERE contains(mitre-tactic, "Exfiltration") SORT mitre-id ASC --> | Nota | ID | Técnica | Plataformas | | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------- | --------- | ------------------------------------------------------------------------ | ----------------------------------------------------------------------------------------------------------------------------------------- | | [[t1011-exfiltration-over-other-network-medium\|T1011 - Exfiltração por Outro Meio de Rede]] | T1011 | T1011 - Exfiltração por Outro Meio de Rede | <ul><li>Linux</li><li>macOS</li><li>Windows</li></ul> | | [[t1011-001-exfiltration-over-bluetooth\|T1011.001 - Exfiltração por Bluetooth]] | T1011.001 | T1011.001 - Exfiltração por Bluetooth | <ul><li>Linux</li><li>macOS</li><li>Windows</li></ul> | | [[t1020-automated-exfiltration\|T1020 - Exfiltração Automatizada]] | T1020 | T1020 - Exfiltração Automatizada | <ul><li>Linux</li><li>macOS</li><li>Network Devices</li><li>Windows</li></ul> | | [[t1020-001-traffic-duplication\|T1020.001 - Traffic Duplication]] | T1020.001 | T1020.001 - Traffic Duplication | <ul><li>Network Devices</li><li>IaaS</li></ul> | | [[t1029-scheduled-transfer\|T1029 - Scheduled Transfer]] | T1029 | T1029 - Scheduled Transfer | <ul><li>Linux</li><li>macOS</li><li>Windows</li></ul> | | [[t1030-data-transfer-size-limits\|T1030 - Data Transfer Size Limits]] | T1030 | T1030 - Data Transfer Size Limits | <ul><li>Linux</li><li>macOS</li><li>Windows</li><li>ESXi</li></ul> | | [[t1041-exfiltration-c2\|T1041 - Exfiltration Over C2 Channel]] | T1041 | T1041 - Exfiltration Over C2 Channel | <ul><li>Windows</li><li>macOS</li><li>Linux</li></ul> | | [[t1041-exfiltration-over-c2-channel\|T1041 - Exfiltration Over C2 Channel]] | T1041 | T1041 - Exfiltration Over C2 Channel | <ul><li>ESXi</li><li>Linux</li><li>macOS</li><li>Windows</li></ul> | | [[t1048-exfiltration-alternative-protocol\|T1048 - Exfiltration Over Alternative Protocol]] | T1048 | T1048 - Exfiltration Over Alternative Protocol | <ul><li>Windows</li><li>Linux</li><li>macOS</li><li>Network</li></ul> | | [[t1048-exfiltration-over-alternative-protocol\|T1048 - Exfiltration Over Alternative Protocol]] | T1048 | T1048 - Exfiltration Over Alternative Protocol | <ul><li>ESXi</li><li>IaaS</li><li>Linux</li><li>macOS</li><li>Network Devices</li><li>Office Suite</li><li>SaaS</li><li>Windows</li></ul> | | [[t1048-001-exfiltration-over-symmetric-encrypted-non-c2-protocol\|T1048.001 - Exfiltration Over Symmetric Encrypted Non-C2 Protocol]] | T1048.001 | T1048.001 - Exfiltration Over Symmetric Encrypted Non-C2 Protocol | <ul><li>Linux</li><li>macOS</li><li>Windows</li><li>ESXi</li></ul> | | [[t1048-002-exfiltration-over-asymmetric-encrypted-non-c2-protocol\|T1048.002 - Exfiltration Over Asymmetric Encrypted Non-C2 Protocol]] | T1048.002 | T1048.002 - Exfiltration Over Asymmetric Encrypted Non-C2 Protocol | <ul><li>Linux</li><li>macOS</li><li>Windows</li><li>ESXi</li></ul> | | [[t1048-003-exfiltration-over-unencrypted-non-c2-protocol\|T1048.003 - Exfiltration Over Unencrypted Non-C2 Protocol]] | T1048.003 | T1048.003 - Exfiltration Over Unencrypted Non-C2 Protocol | <ul><li>ESXi</li><li>Linux</li><li>macOS</li><li>Network Devices</li><li>Windows</li></ul> | | [[t1052-exfiltration-over-physical-medium\|T1052 - Exfiltration Over Physical Medium]] | T1052 | T1052 - Exfiltration Over Physical Medium | <ul><li>Linux</li><li>macOS</li><li>Windows</li></ul> | | [[t1052-001-exfiltration-over-usb\|T1052.001 - Exfiltration over USB]] | T1052.001 | T1052.001 - Exfiltration over USB | <ul><li>Linux</li><li>Windows</li><li>macOS</li></ul> | | [[t1537-transfer-data-to-cloud-account\|T1537 - Transfer Data to Cloud Account]] | T1537 | T1537 - Transfer Data to Cloud Account | <ul><li>IaaS</li><li>Office Suite</li><li>SaaS</li></ul> | | [[t1567-exfiltration-over-web-service\|T1567 - Exfiltration Over Web Service]] | T1567 | T1567 - Exfiltration Over Web Service | <ul><li>ESXi</li><li>Linux</li><li>macOS</li><li>Office Suite</li><li>SaaS</li><li>Windows</li></ul> | | [[t1567-001-exfiltration-to-code-repository\|T1567.001 - Exfiltration to Code Repository]] | T1567.001 | T1567.001 - Exfiltration to Code Repository | <ul><li>Linux</li><li>macOS</li><li>Windows</li><li>ESXi</li></ul> | | [[t1567-002-exfiltration-cloud-storage\|T1567.002 - Exfiltration Over Web Service: Exfiltration to Cloud Storage]] | T1567.002 | T1567.002 - Exfiltration Over Web Service: Exfiltration to Cloud Storage | <ul><li>Windows</li><li>Linux</li><li>macOS</li><li>ESXi</li></ul> | | [[t1567-002-exfiltration-to-cloud-storage\|T1567.002 - Exfiltration to Cloud Storage]] | T1567.002 | T1567.002 - Exfiltration to Cloud Storage | <ul><li>ESXi</li><li>Linux</li><li>macOS</li><li>Windows</li></ul> | | [[t1567-003-exfiltration-to-text-storage-sites\|T1567.003 - Exfiltration to Text Storage Sites]] | T1567.003 | T1567.003 - Exfiltration to Text Storage Sites | <ul><li>Linux</li><li>macOS</li><li>Windows</li><li>ESXi</li></ul> | | [[t1567-004-exfiltration-over-webhook\|T1567.004 - Exfiltration Over Webhook]] | T1567.004 | T1567.004 - Exfiltration Over Webhook | <ul><li>Windows</li><li>macOS</li><li>Linux</li><li>SaaS</li><li>Office Suite</li><li>ESXi</li></ul> | <!-- SerializedQuery END --> ## Mindmap — Técnicas de Exfiltração ```mermaid mindmap root((TA0010<br/>Exfiltration)) Via Canal C2 T1041 Exfil over C2 Channel HTTP POST para C2 Chunking de dados Protocolos Alternativos T1048 Alternative Protocol T1048.001 Exfil over Symmetric Encrypted T1048.003 Exfil over Unencrypted Protocol DNS Exfiltration ICMP Tunneling Serviços Web e Cloud T1567 Exfil over Web Service T1567.002 Cloud Storage OneDrive / Google Drive MEGA Dropbox T1567.001 Code Repository Agendamento T1029 Scheduled Transfer Envio noturno Raté limiting para evasão Limites e Controles T1030 Data Transfer Size Limits Chunks menores que threshold DLP ``` ## Atores que Utilizam esta Tática | Ator | Método de Exfiltração | |------|----------------------| | [[TA505]] | MEGA, rclone para cloud storage, volumes terabyte | | [[Cozy Bear]] | Canal C2 (HTTPS), exfiltração furtiva e lenta | | [[g0032-lazarus-group\|Lazarus Group]] | Transferências financeiras, crypto, exfil de dados de exchange | | [[lockbit\|LockBit Operators]] | rclone para MEGA/cloud antes do deploy do ransomware | | [[Fancy Bear]] | E-mails via canal C2, exfiltração para infraestrutura Rússia | ## Detecção e Mitigação ### Detecção - **DLP (Data Loss Prevention):** Alertas para transferências de volume anormal para destinos externos - **Proxy Logs:** Upload de grandes volumes para serviços cloud (MEGA, OneDrive) por hosts não-esperados - **DNS Analytics:** Queries DNS com subdomínios de alta entropia (DNS exfiltration) - **NetFlow/SIEM:** Transferências de rede de saída incomuns — volumes altos em jánela de tempo curta - **EDR:** Monitorar execução de rclone, MEGAcmd, aws cli de hosts não-autorizados ### Mitigação - **CASB (Cloud Access Security Broker):** Controle de quais serviços cloud são acessíveis - **Egress Filtering:** Restringir uploads para serviços cloud não-corporativos - **DLP com inspeção de conteúdo:** Bloquear transferências de arquivos com dados classificados - **SSL Inspection:** Inspecionar tráfego HTTPS de saída para detectar exfiltração criptografada - **Bandwidth Anomaly Detection:** Alertas para hosts com volume de saída muito acima da baseline ## Relevância LATAM/Brasil A exfiltração de dados de organizações brasileiras frequentemente usa MEGA.io — popular por não ter restrições geográficas e por oferecer grande espaço gratuito. Grupos de ransomware como [[lockbit|LockBit]] e seus afiliados usam rclone para sincronizar dados da vítima com contas MEGA dedicadas por ataque. O volume exfiltrado em ataques ao setor [[government|governamental]] brasileiro inclui dados de cidadãos (CPF, nome, endereço) que acabam vendidos em fóruns underground ou usados em campanhas de fraude — demonstrando que a exfiltração tem valor secundário além da extorsão direta. - [[ta0011-command-and-control|TA0011 - Command and Control]] — canal de comunicação utilizado - [[ta0040-impact|TA0040 - Impact]] — fase final (destruição/ciframento) - [[t1041-exfiltration-c2|T1041 - Exfiltration Over C2 Channel]] — exfiltração pelo canal C2 - [[t1567-exfiltration-over-web-service|T1567 - Exfiltration Over Web Service]] — upload para cloud - [[t1567-002-exfiltration-cloud-storage|T1567.002 - Cloud Storage]] — MEGA, OneDrive, Google Drive - [[t1048-exfiltration-alternative-protocol|T1048 - Alternative Protocol]] — DNS/ICMP exfiltration - [[t1560-archive-collected-data|T1560 - Archive Collected Data]] — compressão pré-exfiltração - [[ TA505]] — referência de exfiltração em volume (MOVEit campaign) - [[_techniques|Índice de Técnicas]] — visão geral de todas as técnicas documentadas ## Referências - [[ta0010-*|MITRE ATT&CK - TA0010 Exfiltration]] - [CISA — Data Exfiltration Detection and Prevention](https://www.cisa.gov/)