# T1074 - Data Staged ## Descrição **Data Staged** descreve a prática de adversários de consolidar dados coletados de múltiplas fontes em um local centralizado - sejá no próprio host comprometido ([[t1074-001-local-data-staging|Local Data Staging]]) ou em um ponto de agregação remoto na rede da vítima ([[t1074-002-remote-data-staging|Remote Data Staging]]) - antes de proceder com a exfiltração final. Essa etapa existe por razões estratégicas: em vez de exfiltrar cada arquivo individualmente (o que geraria múltiplas conexões suspeitas para o C2), o adversário consolida tudo em um único arquivo comprimido ou diretório, realiza uma única operação de exfiltração volumosa e minimiza o rastro de comunicação com infraestrutura externa. O staging também permite ao adversário selecionar, filtrar e priorizar dados antes da extração - aumentando a eficiência da operação. No Brasil e na América Latina, essa técnica é onipresente em operações de ransomware com dupla extorsão - modelo predominante no ecossistema de [[ameaças-ransomware|ransomware brasileiro]]. Grupos como [[g0102-conti-group|Wizard Spider]] (operadores do [[ryuk-ransomware|Ryuk]] e [[conti|Conti]]) e [[g1032-inc-ransom|INC Ransom]] documentadamente realizam staging em servidores de arquivos Windows ou em instâncias de nuvem temporárias antes de exfiltrar e então cifrar dados de vítimas. No Brasil, empresas do setor de saúde, manufatura e varejo foram alvos recorrentes desse padrão. Em ambientes de nuvem (IaaS/ESXi), a técnica evolui: o adversário pode criar uma instância temporária ([[t1578-002-create-cloud-instance|T1578.002]]) exclusivamente para agregar dados antes de destruí-la após a exfiltração, dificultando forensics. > [!info] Double Extortion no Brasil > O modelo de ransomware com dupla extorsão - exfiltrar antes de criptografar - depende diretamente de Data Staged. A maioria dos grupos de ransomware ativos no Brasil utiliza staging em servidores de arquivo internos ou em serviços cloud da própria vítima (S3, Azure Blob, OneDrive) como ponto de concentração antes da exfiltração. --- ## Attack Flow ```mermaid graph TB A([Acesso Inicial<br/>T1190 / T1566]) --> B([Movimentação Lateral<br/>T1021 SMB / RDP]) B --> C([Coleta<br/>T1039 / T1005 / T1213]) C --> D([T1074<br/>DATA STAGED], style D fill:#e74c3c,color:#fff) D --> E([T1074.001<br/>Local Staging<br/>C:\\Windows\\Temp]) D --> F([T1074.002<br/>Remote Staging<br/>Servidor de Arquivos]) E & F --> G([T1560<br/>Archive Collected Data<br/>7zip / RAR / tar.gz]) G --> H([T1048 / T1567<br/>Exfiltração<br/>FTP / Cloud / C2]) H --> I([T1486<br/>Ransomware<br/>Cifra após exfiltrar]) ``` --- ## Como Funciona ### Passo 1 - Identificação e Coleta de Dados de Valor Após estabelecer presença na rede, o adversário realiza reconhecimento interno para identificar dados de alto valor: bases de dados de clientes, propriedade intelectual, documentos financeiros, credenciais armazenadas e backups. Ferramentas como [[s1076-quietcanary|QUIETCANARY]], scripts PowerShell nativos ou utilitários como `robocopy` e `xcopy` são usados para copiar arquivos de múltiplos hosts para um ponto central. O [[g1017-volt-typhoon|Volt Typhoon]], por exemplo, usa comandos `cmd` e `bash` nativos para evitar ferramentas que disparem alertas EDR. ### Passo 2 - Consolidação e Compressão no Ponto de Staging Os dados coletados são concentrados em um diretório de staging - comumente `C:\Windows\Temp\`, `C:\PerfLogs\`, `/tmp/` ou pastas de usuário administrativo - e então comprimidos via [[t1560-archive-collected-data|Archive Collected Data]] usando 7-Zip, WinRAR ou `tar`. A compressão serve dois propósitos: reduzir o volume de dados para exfiltração mais rápida e, quando combinada com senha, dificultar inspeção por DLP e proxies de rede. O [[g1015-scattered-spider|Scattered Spider]] foi documentado usando o OneDrive e SharePoint da própria vítima como ponto de staging remoto ([[t1074-002-remote-data-staging|Remote Data Staging]]) antes da exfiltração. ### Passo 3 - Exfiltração Única e Cobertura de Rastros Com os dados consolidados, o adversário realiza uma única operação de exfiltração - via protocolo HTTPS, FTP, ou upload para serviços cloud legítimos (Mega, OneDrive, Dropbox) para misturar com tráfego normal. Após a exfiltração bem-sucedida, o diretório de staging é limpo ou o arquivo comprimido é deletado para dificultar a análise forense. Em operações de ransomware, essa etapa precede imediatamente a execução do payload de criptografia. --- ## Detecção ### Event IDs e Artefatos Relevantes | Fonte | Event ID / Artefato | Descrição | |-------|---------------------|-----------| | Security (Windows) | 4663 | Acesso a objeto - cópia em massa de arquivos para diretório de staging | | Sysmon | 11 (FileCreaté) | Criação de arquivo comprimido (`.zip`, `.7z`, `.rar`) em diretório incomum | | Sysmon | 1 (ProcessCreaté) | Execução de `7z.exe`, `rar.exe`, `robocopy.exe` por processo pai suspeito | | Sysmon | 3 (NetworkConnect) | Conexão de saída após criação de arquivo comprimido - exfiltração iminente | | PowerShell / 4104 | Script Block Logging | Scripts de cópia recursiva em massa (`Get-ChildItem -Recurse \| Copy-Item`) | | EDR | Detecção de volume | Leitura de alto volume de arquivos únicos por processo único em jánela de tempo curta | ### Regra Sigma - Staging com Compressão em Diretório Temporário ```yaml title: Data Staging via Archive Creation in Temporary Directory id: c9f3b2d4-e5a6-7890-cdef-ab3456789012 status: experimental description: > Detecta criação de arquivos comprimidos de alto volume em diretórios temporários do Windows - padrão clássico de staging pré-exfiltração em operações de ransomware e espionagem com dupla extorsão. author: RunkIntel daté: 2026/03/24 references: - https://attack.mitre.org/techniques/T1074 - https://attack.mitre.org/techniques/T1074.001 logsource: product: windows category: file_event detection: selection_archive: EventID: 11 TargetFilename|contains: - '\Windows\Temp\' - '\PerfLogs\' - '\AppData\Local\Temp\' - '\Users\Public\' TargetFilename|endswith: - '.zip' - '.7z' - '.rar' - '.tar.gz' - '.tar.bz2' selection_size: # Arquivos comprimidos > 100MB em diretórios temporários são altamente suspeitos FileSize|gte: 104857600 condition: selection_archive falsepositives: - Ferramentas de backup legítimas que usam diretório temp como staging - Instaladores que empacotam arquivos temporariamente level: high tags: - attack.collection - attack.t1074 - attack.t1074.001 - attack.t1560 ``` --- ## Mitigação | Controle | Ação Recomendada | Prioridade para Org. Brasileiras | |---------|-----------------|----------------------------------| | Monitoramento de integridade de arquivos (FIM) | Alertar para criação ou modificação em massa de arquivos em diretórios de staging comuns (`Temp`, `PerfLogs`, `Public`) | Alta - detecta staging local antes da exfiltração | | DLP de rede | Inspecionar e bloquear uploads volumosos para serviços cloud não autorizados (Mega, pCloud, Gofile) | Alta - bloqueia o canal de exfiltração preferido por grupos de ransomware | | Segmentação de rede e privilégio mínimo | Restringir acesso SMB entre estações de trabalho e limitar quem pode escrever em servidores de arquivos críticos | Alta - dificulta staging remoto via movimentação lateral | | EDR com proteção comportamental | Configurar regras para detectar execução de 7z/WinRAR por processos não autorizados ou em horários incomuns | Alta - ferramenta preferida de compressão pré-exfiltração | | Backup imutável offsite | Manter cópias imutáveis (object lock) de dados críticos em destino isolado da rede principal | Alta para toda org. brasileira - mitiga impacto de ransomware com staging | | Alertas de volume de leitura de arquivos | Monitorar processos que leem mais de X arquivos únicos por hora - UEBA ou EDR | Média - detecta coleta automatizada antes do staging | | Controle de ferramentas de compressão | Restringir via AppLocker/WDAC a execução de ferramentas de compressão a usuários e contextos autorizados | Média - especialmente útil em servidores e DCs | --- ## Threat Actors que Usam ### [[g0102-conti-group|Wizard Spider]] - Rússia, Ransomware / Crime Financeiro Operadores do [[ryuk-ransomware|Ryuk]] e [[conti|Conti Ransomware]], responsáveis por dezenas de ataques a hospitais, prefeituras e empresas no Brasil. Utilizam staging local em `C:\Windows\Temp\` com 7-Zip antes de exfiltrar via Rclone para Mega.nz, seguido por deploy do ransomware. O padrão de dupla extorsão do Conti foi amplamente documentado após o vazamento do playbook do grupo em 2022. ### [[g1017-volt-typhoon|Volt Typhoon]] - China, Espionagem em Infraestrutura Crítica APT chinês focado em infraestrutura crítica (energia, água, telecom) que utiliza comandos nativos do sistema operacional - `cmd`, `wmic`, `ntdsutil` - para coletar e preparar dados para staging, evitando ferramentas que disparem alertas EDR. Documentado realizando staging em diretórios ocultos de sistemas comprometidos por meses antes de exfiltrar. ### [[g1032-inc-ransom|INC Ransom]] - Crime Organizado, Dupla Extorsão Grupo de ransomware com operações documentadas no Brasil (setor de saúde e manufatura). Utiliza [[s1019-shark|Shark]] e scripts PowerShell customizados para staging remoto em servidores de arquivo Windows antes de exfiltrar para infraestrutura controlada e então executar o payload de criptografia. ### [[g1015-scattered-spider|Scattered Spider]] - Crime Organizado, EN/US Documentado usando o próprio OneDrive/SharePoint da vítima como ponto de [[t1074-002-remote-data-staging|staging remoto]] - uma abordagem que mistura tráfego malicioso com atividade legítima e dificulta bloqueio por DLP. Após consolidar dados, exfiltra para infraestrutura externa e ameaça publicar se o resgate não for pago. --- ## Software Associado | Software | Tipo | Uso em Data Staged | |---------|------|--------------------| | [[s0641-kobalos\|Kobalos]] | Malware | Coleta e prepara dados em servidores Linux para staging pré-exfiltração | | [[s1020-kevin\|Kevin]] | Malware | Staging local de credenciais e documentos em Windows | | [[s1076-quietcanary\|QUIETCANARY]] | Malware | Coleta seletiva e staging de arquivos de interesse antes da exfiltração | | [[s1019-shark\|Shark]] | Malware | Compressão e staging remoto em operações de ransomware INC | --- ## Sub-técnicas - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] - [[t1074-002-remote-data-staging|T1074.002 - Remote Data Staging]]