t1005-data-from-local-system

# T1005 - Data from Local System ## Descrição Adversários que obtêm acesso a um sistema comprometido frequentemente precisam localizar e extrair dados sensíveis antes de realizar a exfiltração. T1005 descreve a busca deliberada por arquivos de interesse em fontes locais - sistema de arquivos, arquivos de configuração, bancos de dados locais, arquivos de máquinas virtuais e memória de processos. Esta é uma das etapas mais críticas da fase de coleta, pois define quais dados o adversário consegue levar consigo. Os atacantes utilizam diversas abordagens para localizar dados relevantes: varredura recursiva de diretórios sensíveis (`%APPDATA%`, `Documents`, `Desktop`, diretórios de aplicativos corporativos), leitura de arquivos de configuração que contenham credenciais ou tokens de API, dump de bancos de dados SQLite de browsers e clientes de e-mail, e leitura de memória de processos em execução. Ferramentas como [[t1059-command-and-scripting-interpreter|Command and Scripting Interpreter]] (cmd, PowerShell, bash) e [[t1059-008-network-device-cli|Network Device CLI]] são frequentemente utilizadas para automatizar esta varredura. Em casos de maior sofisticação, usa-se [[t1119-automated-collection|Automated Collection]] para indexar e comprimir os dados antes da transmissão. O valor dos dados coletados varia por setor: em instituições financeiras, o foco recai sobre extratos, credenciais bancárias e dados de clientes; em governo, sobre documentos classificados e listas de contatos; em tecnologia, sobre código-fonte, chaves de API e propriedade intelectual. A granularidade da busca - sejá por palavras-chave em nomes de arquivo ou por tipos específicos de extensão - revela o nível de planejamento e o alvo específico do adversário. **Contexto Brasil/LATAM:** No Brasil, T1005 é uma das técnicas mais utilizadas por grupos de crime financeiro e espionagem corporativa. Grupos como [[g1004-lapsus|LAPSUS$]] - que operou extensivamente no Brasil e América Latina - são conhecidos por realizarem coleta massiva de dados locais em ambientes corporativos antes de chantagear as vítimas. Além disso, operadores de [[s0650-qakbot|QakBot]] e [[s0567-dtrack|Dtrack]] têm alvejado empresas do setor financeiro e de tecnologia brasileiro, coletando credenciais e dados de sessão para uso em fraudes e acesso persistente a redes. ## Attack Flow ```mermaid graph TB A[Acesso Inicial T1566 / T1190] --> B[Execução T1059] B --> C[Descoberta T1083 File & Dir] C --> D{T1005\nColeta Local}:::highlight D --> E[Compressão T1560] E --> F[Exfiltração T1041] classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b ``` ## Como Funciona 1. **Preparação:** Após obter execução no sistema, o adversário realiza reconhecimento local para mapear a estrutura de diretórios e identificar arquivos de alto valor. Utiliza comandos como `dir /s /b *.xlsx`, `find / -name "*.conf"` ou scripts PowerShell para listar e filtrar arquivos por extensão, data de modificação ou palavras-chave no nome. Ferramentas automatizadas como stealers e RATs executam este mapeamento silenciosamente em background. 2. **Execução:** Os arquivos identificados são lidos diretamente ou copiados para um diretório de staging temporário. Bancos de dados de browsers (Chrome/Firefox `Login Data`, `Cookies`) são copiados para extrair credenciais salvas. Arquivos de configuração de clientes VPN, SSH e RDP são prioritários. Em ambientes com [[t1119-automated-collection|Automated Collection]], o malware aplica filtros automáticos e comprime os dados com ferramentas como 7-Zip ou RAR antes de mover para staging. 3. **Pós-execução:** Os dados coletados são movidos para um diretório temporário oculto ou diretamente transmitidos via C2. Em alguns casos, o adversário utiliza criptografia ([[t1027-013-encryptedencoded-file|T1027.013]]) para ofuscar os arquivos coletados antes da exfiltração. Os arquivos originais geralmente não são modificados para evitar alertas de integridade. A fase seguinte é a exfiltração via protocolos permitidos (HTTP/S, DNS, e-mail). ## Detecção **Fontes de dados:** - **Windows Event ID 4663** - auditoria de acesso a objetos habilitada: monitora leitura de arquivos sensíveis (`*.pfx`, `*.kdbx`, `Login Data`, `*.pst`) - **Sysmon Event ID 11** - criação de arquivos em diretórios de staging temporários por processos inesperados - **Sysmon Event ID 1** - execução de comandos de varredura (`dir`, `find`, `robocopy`, `xcopy`) com argumentos recursivos suspeitos - **EDR file access telemetry** - acesso a múltiplos arquivos de credenciais de browsers em sequência rápida - **DLP alerts** - transferência de volumes anormais de dados para processos não-corporativos - **PowerShell Script Block Logging (Event ID 4104)** - scripts com enumeração de extensões sensíveis ou cópia massiva de arquivos **Sigma Rule:** ```yaml title: Coleta em Massa de Arquivos Sensíveis no Sistema Local id: 2f4a8b1c-7d3e-4c9f-a2b5-8e1d3f6c9a4b status: experimental description: Detecta acesso sequencial a múltiplos arquivos de credenciais de browsers ou documentos sensíveis por processo não-esperado logsource: category: file_access product: windows detection: selection_sensitive_files: TargetFilename|contains: - '\Login Data' - '\Cookies' - '\Web Data' - '.kdbx' - '.pfx' - '\id_rsa' - '\credentials' filter_legitimate: Image|endswith: - '\chrome.exe' - '\firefox.exe' - '\msedge.exe' timeframe: 30s condition: selection_sensitive_files and not filter_legitimate | count() > 5 falsepositives: - Ferramentas de backup legítimas - Migrations de perfil de usuário level: high tags: - attack.collection - attack.t1005 ``` ## Mitigação | Mitigação | Recomendação Prática | |-----------|---------------------| | [[m1057-data-loss-prevention\|M1057 - Data Loss Prevention]] | Implementar solução DLP com regras para detectar acesso massivo a arquivos sensíveis e bloqueio de transferência para dispositivos USB ou cloud storage não-corporativo. No contexto brasileiro, priorizar proteção de arquivos com dados pessoais (LGPD) - a exposição de dados de clientes pode gerar multas regulatórias além do dano operacional. Integrar DLP com SIEM para correlacionar alertas de coleta com conexões de rede suspeitas subsequentes. | ## Threat Actors Grupos que utilizam T1005 sistematicamente como parte de operações de espionagem, extorsão ou roubo financeiro: - [[g0094-kimsuky|Kimsuky]] - APT norte-coreano focado em coleta de documentos governamentais e acadêmicos sul-coreanos; técnica usada em operações de espionagem de longo prazo - [[g0060-bronze-butler|BRONZE BUTLER]] - grupo chinês (TICK) que coleta documentos de engenharia e propriedade intelectual de empresas jáponesas - [[g1004-lapsus|LAPSUS$]] - grupo de extorsão com membros no Brasil; coletou código-fonte e dados de clientes de empresas como Samsung, NVIDIA e Okta - [[g0087-apt39|APT39]] - grupo iraniano (Chafer) focado em coleta de dados pessoais para rastreamento de indivíduos de interesse - [[g0125-silk-typhoon|HAFNIUM]] - APT chinês que explorou ProxyLogon para coletar e-mails de servidores Exchange - [[g0001-axiom|Axiom]] - grupo de espionagem chinês com foco em coleta massiva de dados corporativos e governamentais - [[g0049-oilrig|OilRig]] - APT iraniano (APT34) que coleta credenciais e dados de configuração em alvos do Oriente Médio - [[g1022-toddycat|ToddyCat]] - grupo com foco em governos asiáticos; usa ferramentas customizadas para coleta automatizada - [[g0124-windigo|Windigo]] - operação de comprometimento de servidores Linux com coleta de credenciais e e-mails - [[g0117-fox-kitten|Fox Kitten]] - grupo iraniano focado em coleta de credenciais VPN e dados de acesso remoto ## Software Associado - [[s1196-troll-stealer|Troll Stealer]] (malware) - stealer norcoreano com foco em arquivos HWP e credenciais - [[s0238-proxysvc|Proxysvc]] (malware) - componente do Lazarus Group para coleta e proxy de dados - [[drovorub|Drovorub]] (malware) - rootkit Linux do GRU com módulo de coleta de arquivos - [[s0498-cryptoistic|Cryptoistic]] (malware) - implante iOS com coleta de arquivos e contatos - [[s0653-xcaon|xCaon]] (malware) - RAT com capacidade de coleta de documentos locais - [[s0650-qakbot|QakBot]] (malware) - trojan bancário com módulo de coleta de credenciais de browser e e-mail - [[s1043-ccf32|ccf32]] (malware) - ferramenta de coleta de arquivos específica por extensão - [[s0567-dtrack|Dtrack]] (malware) - RAT norcoreano com módulo dedicado de coleta de arquivos sensíveis - [[s0239-bankshot|Bankshot]] (malware) - implante norcoreano com foco em sistemas financeiros e coleta de dados - [[s0128-badnews|BADNEWS]] (malware) - RAT do Transparent Tribe com coleta automática de documentos --- *Fonte: [MITRE ATT&CK - T1005](https://attack.mitre.org/techniques/T1005)*