t1074-001-local-data-staging

# T1074.001 - Local Data Staging ## Técnica Pai Esta é uma sub-técnica de [[t1074-data-staged|T1074 - T1074 - Data Staged]]. ## Descrição O Local Data Staging é uma técnica de coleção em que o adversário agrega os dados roubados em um local centralizado no próprio sistema comprometido antes de exfiltrá-los. Em vez de enviar cada arquivo individualmente ao servidor C2 - o que geraria um volume anômalo de conexões de rede - o atacante primeiro consolida tudo em uma única pasta temporária, muitas vezes comprimindo e cifrando o conteúdo com [[t1560-archive-collected-data|Archive Collected Data]] para reduzir o tamanho e dificultar a inspeção do tráfego de saída. A consolidação é feita com ferramentas nativas do sistema operacional: em Windows, comandos `xcopy`, `robocopy` ou `copy` via `cmd.exe`; em Linux/macOS, `cp`, `find` com `exec`, ou scripts shell que percorrem diretórios de interesse. O local de staging escolhido frequentemente imita pastas legítimas do sistema - como `C:\Windows\Temp\`, `C:\ProgramData\`, `%APPDATA%\Microsoft\` ou `/tmp/` - para se misturar ao ruído normal de operações de sistema. Em ambientes de virtualização como VMware ESXi, a técnica também é empregada consolidando arquivos de VM (`.vmdk`, `.vmx`) antes de exfiltração em ataques de ransomware. O staging local também serve como ponto de verificação operacional: o adversário pode inspecionar o conteúdo coletado, selecionar os dados de maior valor e descartar arquivos irrelevantes antes de iniciar a exfiltração. Grupos de ransomware modernos como o [[g0119-indrik-spider|Indrik Spider]] (Evil Corp) e o [[g1046-storm-1811|Storm-1811]] seguem um padrão bem documentado: coletar, estagiar localmente, cifrar o staging com 7-Zip, e só então exfiltrar via ferramentas de transferência legítimas como `rclone` ou `MEGAsync`. **Contexto Brasil/LATAM:** O staging local é componente central dos ataques de ransomware de dupla extorsão que cresceram significativamente no Brasil. Grupos como [[g0119-indrik-spider|Indrik Spider]] (WastedLocker/Macaw Locker) e afiliados do [[clop|Clop]] foram observados em incidentes nacionais consolidando dados de ERPs (TOTVS, SAP), bases de clientes e documentos financeiros em pastas temporárias antes da exfiltração. A técnica também é recorrente em ataques ao setor financeiro brasileiro: trojans bancários como [[s0386-ursnif|Ursnif]] e [[s0567-dtrack|Dtrack]] usam staging local para consolidar credenciais capturadas, screenshots e formulários bancários antes do envio ao C2. ## Attack Flow ```mermaid graph TB A[Acesso Inicial T1566 / T1190] --> B[Movimentação Lateral T1021] B --> C[Coleta de Dados T1005 / T1039] C --> D{T1074.001\nLocal Data\nStaging}:::highlight D --> E[Compressão T1560 Archive Data] E --> F[Exfiltração T1041 / T1567] classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b ``` ## Como Funciona 1. **Preparação:** Após ganhar acesso e realizar reconhecimento interno com técnicas como [[t1083-file-and-directory-discovery|File and Directory Discovery]] e [[t1135-network-share-discovery|Network Share Discovery]], o adversário identifica os repositórios de dados de maior valor - diretórios de documentos, shares de rede, bancos de dados locais, backups, arquivos de configuração com credenciais. Esta fase define o escopo do que será coletado e estimado pelo tamanho total para avaliar a jánela de tempo necessária para exfiltração. 2. **Execução:** O adversário cria uma pasta de staging em local de baixo monitoramento (ex: `C:\Windows\Temp\cab_[random]\`, `/var/tmp/.hidden/`, `C:\ProgramData\Microsoft\Windows\[guid]\`) e copia ou move os arquivos selecionados para ela. Comandos como `xcopy /s /e /h C:\Users\* C:\Windows\Temp\staging\` ou scripts PowerShell com `Get-ChildItem -Recurse | Copy-Item` são comuns. Malwares como [[s0567-dtrack|Dtrack]], [[s1196-troll-stealer|Troll Stealer]] e [[s0247-navrat|NavRAT]] automatizam esta fase como parte do ciclo de coleta. Em seguida, o conteúdo é comprimido e opcionalmente cifrado com ferramentas como 7-Zip (`7z.exe a -p[senha] output.7z staged_folder\`) ou WinRAR. 3. **Pós-execução:** O arquivo comprimido de staging é exfiltrado em uma ou poucas transações de rede - minimizando anomalias - usando ferramentas como `rclone`, `certutil`, `curl`, FTP nativo ou uploads para serviços legítimos de nuvem (Google Drive, OneDrive, MEGA). Após exfiltração confirmada, o staging local pode ser deletado para apagar rastros ou, em ataques de ransomware, ser deixado como evidência da dupla extorsão enquanto o resto do sistema é cifrado. ## Detecção **Fontes de dados:** - **Sysmon:** Event ID 11 (File Creaté) - volume incomum de criações de arquivo em pastas temporárias (`%TEMP%`, `%APPDATA%`, `C:\ProgramData\`) em curto intervalo de tempo; Event ID 1 (Process Creaté) para execução de `xcopy.exe`, `robocopy.exe`, `7z.exe`, `rar.exe` com argumentos de cópia em massa - **Windows Event Log:** Event ID 4663 (Object Access - File System) para acesso em massa a múltiplos arquivos de diferentes diretórios pelo mesmo processo em jánela temporal curta - **Sysmon Event ID 23 (File Delete)** - deleção de arquivo temporário após exfiltração (limpeza de rastros) - **File Integrity Monitoring (FIM):** Alertas para criação de novos diretórios em caminhos temporários seguidos de escrita de grande volume de dados - **DLP (Data Loss Prevention):** Detecção de compressão de dados antes de transferência; correlação entre criação de archive e posterior conexão de rede de saída - **Auditd (Linux):** Syscalls `openat`, `write` em sequência para múltiplos arquivos valiosos seguidos de `rename` ou `chmod` em diretório de staging **Sigma Rule:** ```yaml title: Suspicious Mass File Copy to Temporary Directory id: b9e3a7c2-5f1d-4b8e-a2c0-d4f6e8901234 status: experimental description: > Detecta criação de grande volume de arquivos em diretórios temporários por processos de linha de comando - padrão consistente com staging de dados antes de exfiltração. logsource: product: windows category: process_creation detection: selection_copy_tools: Image|endswith: - '\xcopy.exe' - '\robocopy.exe' - '\cmd.exe' CommandLine|contains: - 'xcopy' - 'robocopy' - 'copy /b' selection_staging_path: CommandLine|contains: - '\Windows\Temp\' - '\AppData\Local\Temp\' - '\ProgramData\' - '\Users\Public\' - 'C:\Temp\' selection_compression: Image|endswith: - '\7z.exe' - '\7za.exe' - '\rar.exe' - '\winrar.exe' CommandLine|contains: - ' a ' condition: (selection_copy_tools and selection_staging_path) or selection_compression filter_system_updates: ParentImage|endswith: - '\TiWorker.exe' - '\svchost.exe' - '\msiexec.exe' falsepositives: - Backups legítimos agendados via ferramenta corporativa - Instaladores de software que comprimem arquivos temporariamente - Operações de TI de migração de dados documentadas level: medium tags: - attack.collection - attack.t1074.001 - attack.t1560 ``` ## Mitigação | Mitigação | Recomendação Prática | |-----------|---------------------| | Monitoramento de acesso a arquivos | Implementar auditoria de acesso a arquivos (Windows Audit Object Access) com alertas para processos que acessam mais de 100 arquivos em menos de 60 segundos - threshold ajustável por perfil de negócio | | File Integrity Monitoring | Implantar FIM em diretórios de dados críticos (documentos financeiros, bases de clientes, backups) com alertas imediatos para cópias em massa para pastas temporárias | | Controle de ferramentas de compressão | Monitorar e restringir uso de `7z.exe`, `winrar.exe`, `zip.exe` por usuários comuns; bloquear via AppLocker em endpoints que não possuem necessidade de negócio documentada | | DLP Endpoint | Configurar políticas de DLP no endpoint para detectar e bloquear a criação de archives de grande volume contendo tipos de arquivo sensíveis (.xlsx, .pdf, .docx, .sql, .mdb) | | Least Privilege no filesystem | Restringir permissões de leitura em diretórios de dados críticos por segmentação de ACLs - usuários acessam apenas o que precisam para sua função; impede coleta em massa caso uma conta sejá comprometida | | Detecção de rclone/MEGAsync | Criar assinatura de detecção para ferramentas de sincronização em nuvem (`rclone.exe`, `MEGAsync.exe`, `gdrive.exe`) executadas por processos não esperados ou em horários fora do expediente | ## Threat Actors que Usam - [[g1046-storm-1811|Storm-1811]] - grupo de ransomware que usa staging local antes de exfiltrar dados via serviços legítimos de nuvem; responsável por ataques a organizações de saúde e infraestrutura crítica - [[g0027-threat-group-3390|Threat Group-3390]] - APT chinês com foco em espionagem industrial; usa staging para consolidar propriedade intelectual antes de exfiltrar via canais C2 de longo prazo - [[g0121-sidewinder|Sidewinder]] - APT sul-asiático que consolida documentos governamentais em stagings temporários antes de exfiltração - [[g0053-fin5|FIN5]] - grupo criminoso focado em dados de cartão de crédito; usa staging para consolidar dumps de PoS antes de exfiltrar em lote - [[g0040-patchwork|Patchwork]] - APT que usa [[s0264-oopsie|OopsIE]] e [[s1029-auto-stealer|AuTo Stealer]] para coletar e estagiar documentos de alvos governamentais - [[g1048-unc3886|UNC3886]] - grupo de espionagem com foco em VMware ESXi; usa staging para copiar imagens de VM antes de exfiltrar dados de ambientes virtualizados - [[g1023-apt5|APT5]] - APT chinês com foco em telecomúnicações e defesa; consolida configurações de rede e credenciais antes de exfiltração silenciosa - [[g0030-raspberry-typhoon|Lotus Blossom]] - APT chinês que usa [[slightpulse|SLIGHTPULSE]] para coletar e estagiar dados de agências governamentais do Sudeste Asiático - [[g0139-teamtnt|TeamTNT]] - grupo focado em ambientes cloud/container; usa staging para consolidar credenciais AWS e chaves SSH antes de exfiltrar - [[g0119-indrik-spider|Indrik Spider]] - operadores do WastedLocker e Macaw Locker; staging local é etapa obrigatória antes da dupla extorsão em ataques de ransomware corporativo ## Software Associado - [[s0264-oopsie|OopsIE]] (malware) - RAT do Patchwork com módulo de coleta e staging automático de arquivos de interesse - [[s1029-auto-stealer|AuTo Stealer]] (malware) - infostealer do Patchwork que consolida documentos Office, PDFs e imagens em pasta temporária antes do upload C2 - [[s1149-chimneysweep|CHIMNEYSWEEP]] (malware) - backdoor iraniano que coleta e estadia arquivos de documentos e contatos antes de exfiltrar - [[slightpulse|SLIGHTPULSE]] (malware) - webshell avançado do Lotus Blossom com capacidade de staging em sistemas comprometidos - [[s0567-dtrack|Dtrack]] (malware) - ferramenta de espionagem do Lazarus Group com módulo dedicado de staging de arquivos, usado em ataques a bancos e infraestrutura crítica no Brasil e LATAM - [[s1196-troll-stealer|Troll Stealer]] (malware) - stealer coreano que agrega dados do sistema, credenciais e documentos em estrutura de staging antes de envio ao C2 - [[s1015-milan|Milan]] (malware) - implante modular com capacidade de coletar e consolidar dados em diretório de trabalho temporário - [[s0247-navrat|NavRAT]] (malware) - RAT com foco em alvos sul-coreanos; usa staging de arquivos em pastas de sistema para evitar detecção de FIM - [[s0386-ursnif|Ursnif]] (malware) - trojan bancário amplamente presente no Brasil; consolida formulários capturados, cookies e credenciais em staging local antes de exfiltrar ao C2 - [[s1044-funnydream|FunnyDream]] (malware) - backdoor com múltiplos plugins de coleta; agrega outputs de diferentes módulos em staging unificado antes de exfiltração --- *Fonte: [MITRE ATT&CK - T1074.001](https://attack.mitre.org/techniques/T1074/001)*