t1074-002-remote-data-staging

# T1074.002 - Remote Data Staging ## Descrição Preparação remota de dados (Remote Data Staging) é uma subtécnica de [[t1074-data-staged|T1074 - Data Staged]] na qual adversários consolidam dados coletados de múltiplos sistemas comprometidos em um único ponto central da rede da vítima antes de iniciar a exfiltração. Em vez de exfiltrar de cada endpoint individualmente - o que geraria múltiplas conexões suspeitas para o servidor C2 - o adversário escolhe um sistema intermediário (geralmente um servidor com acesso à internet ou um salto estratégico na rede) para agregar e preparar os dados. Os dados coletados podem ser combinados em arquivos únicos usando técnicas de [[t1560-archive-collected-data|arquivamento e compressão]] antes da transferência final. Em ambientes de nuvem (IaaS), o adversário pode [[t1578-002-create-cloud-instance|criar uma instância de nuvem]] específicamente para centralizar dados antes da exfiltração, aproveitando a largura de banda e a natureza do tráfego cloud-to-internet para evadir detecção. > **Contexto Brasil/LATAM:** Esta técnica é característica de operações APT de longa duração contra o setor [[_sectors|governo]], [[_sectors|financial|financeiro]] e infraestrutura crítica no Brasil. Grupos como [[g0045-apt10|menuPass]] (APT10) e [[g0065-leviathan|Leviathan]] utilizaram data staging remoto em campanhas de espionagem industrial, agregando dados de múltiplos endpoints em servidores internos comprometidos - frequentemente controladores de domínio ou servidores de arquivos - antes de exfiltrar. O crescimento de ambientes híbridos (on-premises + IaaS) em empresas brasileiras cria pontos de staging naturais na nuvem, dificultando a detecção por ferramentas de monitoramento de rede tradicionais. > **Técnica pai:** [[t1074-data-staged|T1074 - Data Staged]] --- ## Attack Flow ```mermaid graph TB A([Movimento Lateral]) --> B([Coleta em Múltiplos Hosts]) B --> C([Identificação do Host de Staging]) C --> D{T1074.002}:::highlight D --> E([Transferência Interna]) E --> F([Compressão / Arquivamento]) F --> G([Exfiltração Única]) classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b,font-weight:bold ``` --- ## Como Funciona **Passo 1 - Seleção do Ponto de Staging** Após realizar movimento lateral pela rede ([[t1021-remote-services|T1021]]) e coletar dados de interesse em múltiplos sistemas, o adversário escolhe um host estratégico para centralizar os dados. O alvo ideal é um servidor com: (a) amplo espaço em disco disponível, (b) conectividade de saída para internet ou acesso ao sistema de exfiltração, e (c) baixa probabilidade de monitoramento intenso (servidores de arquivo, servidores de backup, instâncias IaaS). Controladores de domínio são frequentemente escolhidos por seu acesso privilegiado e confiança implícita na rede. **Passo 2 - Transferência e Agregação de Dados** O adversário usa comandos nativos do sistema para mover os dados coletados para o host de staging: `xcopy`, `robocopy` ou `copy` no Windows; `scp`, `rsync` ou `cp` no Linux. Shells interativos via `cmd.exe`, `PowerShell` ou `bash` coordenam a operação. Em ambientes IaaS, ferramentas de CLI de nuvem (AWS CLI, `az copy`, `gsutil`) são usadas para transferir dados entre instâncias ou para buckets de armazenamento intermediários. Os dados podem ser agregados via [[t1560-archive-collected-data|Archive Collected Data]] usando `7-Zip`, `WinRAR`, `tar` ou `zip` com senha para ofuscar o conteúdo. **Passo 3 - Exfiltração Concentrada** Com todos os dados no ponto de staging, o adversário realiza uma única exfiltração volumosa, minimizando o número de conexões externas suspeitas. Esta abordagem reduz a superfície de detecção: ao invés de dezenas de hosts gerando tráfego de saída anômalo, apenas um host realiza a transferência final. O timing é geralmente escolhido para coincidir com jánelas de menor monitoramento (madrugada, fins de semana) ou períodos de alto volume de tráfego legítimo (backups noturnos, atualizações agendadas). --- ## Detecção ### Event IDs e Indicadores Relevantes | Fonte | Event ID / Indicador | Descrição | |-------|---------------------|-----------| | Windows - Sysmon | Event ID 11 (FileCreaté) | Criação de arquivos comprimidos (`.zip`, `.7z`, `.rar`) em servidores de arquivo | | Windows - Sysmon | Event ID 15 (FileCreateStreamHash) | Streams alternativos em arquivos de staging | | Windows - Security | Event ID 4663 | Acesso a objeto de arquivo - múltiplos arquivos acessados por processo em curto intervalo | | Windows - Security | Event ID 5140 / 5145 | Acesso a compartilhamento de rede - cliente copiando grandes volumes via SMB | | Linux - auditd | `syscall=openat` | Abertura de múltiplos arquivos por processo não-interativo (`rsync`, `scp`) | | AWS CloudTrail | `CopyObject`, `PutObject` | Transferências em massa entre buckets S3 ou para bucket de staging | | Azure Monitor | `BlobServiceProperties`, `Put Blob` | Upload em massa para Azure Blob Storage por identidade de serviço | | EDR - Comportamental | Anomalia de Volume | Processo copiando > N GB de dados internamente em curto período | ### Sigma Rule - Staging de Dados via Compressão em Servidor ```yaml title: Remote Data Staging via Mass Archive Creation on Server id: c9f3a2e7-1d8b-4c6f-b0e4-5a7d3c9f2e1b status: experimental description: Detecta criação em massa de arquivos comprimidos em servidores de arquivo ou diretórios de sistema, indicativo de preparação de dados para exfiltração. references: - https://attack.mitre.org/techniques/T1074/002/ author: RunkIntel daté: 2026-03-24 tags: - attack.collection - attack.t1074.002 logsource: category: file_event product: windows detection: selection_archive: TargetFilename|endswith: - '.zip' - '.7z' - '.rar' - '.tar.gz' - '.tar.bz2' selection_location: TargetFilename|contains: - '\Users\Public\' - '\Windows\Temp\' - '\ProgramData\' - '\$Recycle.Bin\' - '\Temp\' condition: selection_archive and selection_location timeframe: 10m threshold: field: TargetFilename count: '>5' falsepositives: - Ferramentas de backup legítimas criando arquivos temporários - Processos de atualização de software level: high ``` --- ## Mitigação | Controle | Mitigação | Aplicação para Organizações Brasileiras | |----------|-----------|------------------------------------------| | Monitoramento de Tráfego Lateral (East-West) | Implementar NDR/NTA para detectar transferências volumosas internas anômalas | Ferramentas como Darktrace, Vectra AI ou Zeek são usadas por grandes bancos brasileiros para monitorar movimentação interna de dados | | DLP (Data Loss Prevention) | Políticas de DLP para alertar sobre criação de arquivos comprimidos grandes em servidores | Obrigatório para instituições financeiras sob regulação BACEN - Resolução CMN nº 4.893/2021 exige controles de segurança da informação | | Segmentação de Rede | Microsegmentar ambientes para limitar a capacidade de um host acessar dados de múltiplos segmentos | Reduz dramaticamente a capacidade de staging centralizado; crítico em ambientes OT/ICS no setor de energia | | Monitoramento de Compartilhamentos SMB | Alertar sobre acesso a `\\servidor\*` com volume superior a threshold definido | Event IDs 5140/5145 no SIEM; detecta cópia em massa via SMB - vetor comum em redes corporativas Windows | | Controle de Ferramentas de Compressão | Restringir ou monitorar uso de `7-Zip`, `WinRAR` em servidores via AppLocker/WDAC | Bloqueia ou detecta uso de ferramentas de staging; política comum em órgãos federais brasileiros com SIEM Splunk/QRadar | | Auditoria de Permissões IaaS | Revisar papéis IAM para limitar capacidade de criar instâncias de nuvem ad-hoc | Crítico para organizações com workloads em AWS/Azure no Brasil - instâncias temporárias de staging são difíceis de detectar sem CloudTrail ativo | | UEBA - Análise de Comportamento | Detectar desvios no volume de dados acessados por conta de serviço ou usuário específico | Microsoft Sentinel UEBA e Splunk UBA têm casos de uso nativos para detecção de staging de dados | --- ## Threat Actors e Software ### Grupos que Utilizam Esta Técnica - [[g0007-apt28|APT28]] - Grupo russo que utiliza data staging como etapa padrão em campanhas de espionagem de longa duração; documentado copiando dados para controladores de domínio comprometidos antes de exfiltrar para infraestrutura controlada na Europa. - [[g0045-apt10|menuPass]] (APT10) - Grupo chinês que em campanhas contra MSPs (Managed Service Providers) utilizou data staging em servidores de clientes para agregar dados de múltiplas organizações antes de exfiltrar via túneis DNS; altamente relevante para o setor de tecnologia e telecom brasileiros. - [[g0065-leviathan|Leviathan]] (APT40) - Grupo chinês focado em espionagem marítima e tecnológica; documentado usando data staging em ambientes IaaS para exfiltrar propriedade intelectual de setores estratégicos, incluindo empresas com operações no Brasil. - [[g0114-chimera|Chimera]] - Grupo que alvo semicondutores e aviação; usa data staging como etapa central de suas operações, centralizando dados de espionagem industrial antes de exfiltração prolongada. - [[g1041-sea-turtle|Sea Turtle]] - Grupo focado em DNS hijacking; usa servidores comprometidos como pontos de staging durante campanhas de espionagem no Oriente Médio e Europa - padrão técnico aplicável a alvos LATAM. - [[g0061-fin8|FIN8]], [[g0037-fin6|FIN6]] - Grupos financeiramente motivados que utilizam data staging antes de exfiltrar dados de cartões de crédito e dados financeiros; relevantes para o setor de varejo e financeiro brasileiro. - [[g1022-toddycat|ToddyCat]] - Grupo APT com campanhas recentes na Ásia e Europa Oriental; usa data staging como parte de operações de espionagem de longa duração com exfiltração periódica. - [[g1019-moustachedbouncer|MoustachedBouncer]], [[g0027-threat-group-3390|Threat Group-3390]] - Grupos adicionais com uso documentado de data staging remoto em campanhas de espionagem governamental e industrial. ### Ferramentas e Software Associados - [[s1043-ccf32|ccf32]] - Malware documentado pelo MITRE com capacidade de staging de dados em ambientes comprometidos; compacta e prepara dados para exfiltração. - Ferramentas nativas do sistema (`robocopy`, `xcopy`, `tar`, `zip`, `7-Zip`, `WinRAR`) - Amplamente abusadas por adversários para mover e compactar dados internamente, dificultando detecção por serem binários legítimos ([[t1218-system-binary-proxy-execution|Living off the Land]]). --- *Fonte: [MITRE ATT&CK - T1074.002](https://attack.mitre.org/techniques/T1074/002)*