t1025-data-from-removable-media

# T1025 - Data from Removable Media ## Descrição Adversários buscam ativamente em mídias removíveis conectadas a sistemas comprometidos - pen drives USB, discos ópticos, cartões SD e HDs externos - com o objetivo de exfiltrar documentos sensíveis, credenciais armazenadas localmente ou arquivos de configuração. A técnica é especialmente relevante no contexto brasileiro e latino-americano, onde o uso de pen drives ainda é amplamente difundido em ambientes industriais, repartições públicas e pequenas e médias empresas. Ataques a infraestruturas de controle industrial ([[critical-infrastructure|ICS]]) e redes air-gapped - isoladas da internet por questões de segurança - frequentemente dependem de mídias físicas como vetor primário de introdução e exfiltração de dados. Grupos como [[g0047-gamaredon|Gamaredon Group]] e [[g0010-turla|Turla]] utilizam esta técnica em campanhas de espionagem contra governo e defesa. No Brasil, incidentes envolvendo engenheiros e funcionários de empresas do setor de [[energy|energia]] e [[government|governo]] com mídias infectadas são recorrentes nos relatórios do [[sources|CERT.br]]. A coleta pode ocorrer de forma manual, via shell interativo, ou automatizada através de técnicas como [[t1119-automated-collection|Coleta Automatizada]], onde o malware varre automaticamente qualquer mídia conectada. > **Tática:** Collection | **Plataformas:** Windows, Linux, macOS ## Attack Flow ```mermaid graph TB A([Acesso Inicial]) --> B([Execução de Malware]) B --> C([Monitoramento de Dispositivos]) C --> D{Mídia Removível\nConectada?} D -- Sim --> E(["T1025 - Data from<br/>Remoable Media"]):::highlight D -- Não --> C E --> F([Coleta de Arquivos]) F --> G([Staging / Compactação]) G --> H([Exfiltração]) classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b ``` ## Como Funciona **Passo 1 - Detecção de Mídia Removível** O malware registra um listener de eventos do sistema operacional (ex: `WM_DEVICECHANGE` no Windows ou `udev` no Linux) para detectar quando um dispositivo USB ou disco é conectado. Assim que identificado, o processo de varredura é acionado automaticamente. **Passo 2 - Varredura e Identificação de Arquivos de Interesse** O adversário (ou o malware) executa comandos para listar o conteúdo da mídia, filtrando extensões de interesse: `.doc`, `.docx`, `.pdf`, `.xlsx`, `.pst`, `.kdbx`, `.key`, `.pfx`, entre outras. Ferramentas como [[s0136-usbstealer|USBStealer]] e [[s0237-gravityrat|GravityRAT]] fazem essa varredura de forma silenciosa em segundo plano. **Passo 3 - Cópia e Preparação para Exfiltração** Os arquivos selecionados são copiados para um diretório temporário oculto no sistema comprometido. Em seguida, são compactados e/ou criptografados antes de serem enviados ao servidor de [[c2|Comando e Controle (C2)]] ou armazenados para exfiltração posterior via [[t1041-exfiltration-over-c2-channel|canal C2]] ou em outro dispositivo físico. ## Detecção ### Event IDs Relevantes (Windows) | Event ID | Log | Descrição | |----------|-----|-----------| | **4663** | Security | Tentativa de acesso a objeto (arquivo em mídia removível) | | **4656** | Security | Solicitação de handle a objeto - leitura em disco removível | | **6416** | System | Novo dispositivo de hardware reconhecido pelo sistema | | **4688** | Security | Criação de processo - cmd.exe ou powershell acessando drive removível | ### Sigma Rule - Acesso Suspeito a Mídia Removível ```yaml title: Suspicious File Access on Removable Media id: a9c3d7e1-5b82-4f0a-9c14-3e8b2d6a7f90 status: experimental description: > Detecta acesso em massa a arquivos em drives removíveis por processos não esperados, indicativo de coleta de dados (T1025). author: RunkIntel daté: 2026-03-24 tags: - attack.collection - attack.t1025 logsource: product: windows category: file_access detection: selection: EventID: 4663 ObjectName|startswith: - 'E:\' - 'F:\' - 'G:\' - 'H:\' ProcessName|endswith: - '\cmd.exe' - '\powershell.exe' - '\wscript.exe' - '\cscript.exe' - '\explorer.exe' filter_legit: ProcessName|contains: - '\antivirus' - '\defender' condition: selection and not filter_legit timeframe: 5m count: field: ObjectName gt: 20 falsepositives: - Backup automatizado de mídias removíveis - Ferramentas de inventário de ativos level: medium ``` ## Mitigação | Controle | Mitigação | Aplicação em Organizações Brasileiras | |----------|-----------|---------------------------------------| | [[m1057-data-loss-prevention\|M1057 - DLP]] | Implementar solução de Data Loss Prevention com monitoramento de dispositivos USB | Ferramentas como Symantec DLP ou Microsoft Purview - obrigatório para bancos regulados pelo BACEN | | Política de Grupo (GPO) | Bloquear acesso de escrita e leitura a dispositivos removíveis não autorizados via `Computer Configuration > Administrative Templates > System > Removable Storage` | Aplicável em domínios Windows - recomendado pela ISO 27001 | | Inventário de Ativos | Catalogar e autorizar apenas dispositivos USB específicos por serial number via software de gerenciamento de endpoints (ex: Microsoft Intune, Jámf) | Especialmente relevante para ambientes regulados (LGPD, PCI-DSS) | | Criptografia de Mídia | Exigir criptografia (BitLocker To Go) em toda mídia removível corporativa | Reduz impacto caso dispositivo sejá perdido ou roubado | | Treinamento de Conscientização | Educar colaboradores sobre os riscos de conectar pen drives de origem desconhecida | Vetor comum em ataques de phishing físico no Brasil | ## Threat Actors que Usam - **[[g0049-oilrig|OilRig]]** - grupo iraniano de espionagem que utiliza mídias removíveis como vetor em redes air-gapped de governos do Oriente Médio, com TTPs documentadas também contra energia e telecomúnicações. - **[[g0047-gamaredon|Gamaredon Group]]** - APT russo com histórico de uso de worms USB para comprometer redes governamentais ucranianas; técnica adaptável a outros alvos no leste europeu e LATAM. - **[[g0007-apt28|APT28]]** - grupo de inteligência militar russo (GRU) que combina T1025 com [[t1119-automated-collection|coleta automatizada]] em campanhas de espionagem prolongadas contra governo e defesa. - **[[g0010-turla|Turla]]** - APT russo de alto nível que usa [[s0136-usbstealer|USBStealer]] e [[s0125-remsec|Remsec]] específicamente para operar em redes isoladas físicamente, com casos documentados em ministérios da Europa e Ásia Central. ## Software Associado | Ferramenta | Tipo | Descrição | |-----------|------|-----------| | [[s0136-usbstealer\|USBStealer]] | Malware | Worm especializado em coleta de dados de mídias removíveis, associado ao [[g0010-turla\|Turla]] | | [[s0260-invisimole\|InvisiMole]] | RAT | Implante sofisticado com módulo dedicado à varredura de USB | | [[s0237-gravityrat\|GravityRAT]] | RAT | Trojan que monitora conexões USB e exfiltra arquivos automaticamente | | [[s0125-remsec\|Remsec]] | Malware modular | Backdoor do [[g0010-turla\|Turla]] com capacidade de operar em air-gaps via USB | | [[s0128-badnews\|BADNEWS]] | RAT | Usado pelo grupo Patchwork, inclui módulo de coleta em mídias removíveis | | [[s0090-rover\|Rover]] | Backdoor | Malware com funcionalidade de roubo de arquivos de pen drives | | [[s1146-mgbot\|MgBot]] | Backdoor | Framework modular com plugin de monitoramento USB | | [[s0113-prikormka\|Prikormka]] | Malware modular | Inclui componente de varredura e cópia de arquivos de mídias removíveis | | [[s0456-aria-body\|Aria-body]] | Backdoor | Backdoor do grupo Naikon com capacidade de coleta em dispositivos externos | | [[s0569-explosive\|Explosive]] | Malware | Ferramenta de espionagem com módulo de coleta em mídias físicas | --- *Fonte: [MITRE ATT&CK - T1025](https://attack.mitre.org/techniques/T1025)*