# T1213.006 - Databases ## Descrição Adversários exploram bancos de dados como fonte primária de informações de alto valor. Esses repositórios - sejam on-premises ou hospedados em nuvem (IaaS, SaaS, PaaS) - concentram dados que representam o núcleo operacional de organizações: credenciais de usuário com hashes de senha, dados pessoais sensíveis, informações financeiras, registros de clientes e até segredos industriais. No contexto brasileiro, essa técnica possui impacto direto sobre obrigações legais impostas pela **LGPD (Lei Geral de Proteção de Dados - Lei 13.709/2018)**. Organizações nos setores bancário, saúde, varejo e governo são alvos prioritários, pois seus bancos de dados armazenam CPFs, dados de saúde, informações de cartão de crédito e prontuários médicos. Uma exfiltração bem-sucedida pode resultar em notificação obrigatória à ANPD e sanções administrativas. Na América Latina, o [[g0034-sandworm|Sandworm Team]] - unidade do GRU russo - explorou bancos de dados de infraestruturas críticas em campanhas de sabotagem e espionagem, enquanto o [[g0037-fin6|FIN6]] foca específicamente em bases de dados de e-commerce e varejo para extrair dados de pagamento. O [[g1041-sea-turtle|Sea Turtle]] (grupo ligado à Turquia) realizou operações de espionagem contra governos latino-americanos com acesso a bancos de dados de sistemas de identidade nacional. Bancos de dados comumente alvejados incluem MySQL, PostgreSQL, MongoDB, Microsoft SQL Server, Oracle Database, além de serviços gerenciados como Amazon RDS, Azure SQL Database, Google Firestore e Snowflake. Os dados coletados frequentemente alimentam outras fases do ataque: [[ta0008-lateral-movement|Movimento Lateral]] (com credenciais extraídas), [[ta0011-command-and-control|Command and Control]] (com infraestrutura mapeada) ou [[ta0010-exfiltration|Exfiltração]] direta para venda ou extorsão. > **Técnica pai:** [[t1213-data-from-information-repositories|T1213 - Data from Information Repositories]] ## Attack Flow ```mermaid graph TB A[Acesso Inicial] --> B[Escalonamento de Privilégios] B --> C[Descoberta de Banco de Dados] C --> D["T1213.006 - Databases<br/>(dump + coleta)"]:::highlight D --> E[Arquivamento T1560] E --> F[Exfiltração] classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b ``` ## Como Funciona **Passo 1 - Descoberta e enumeração de bancos de dados** Após ganhar acesso ao ambiente, o adversário realiza reconhecimento interno para localizar instâncias de banco de dados: escaneamento de portas (3306/MySQL, 5432/PostgreSQL, 1433/MSSQL, 27017/MongoDB), enumeração de serviços via `net start`, leitura de arquivos de configuração de aplicações (`.env`, `web.config`, `application.properties`) e consulta a metadados de nuvem (AWS Secrets Manager, Azure Key Vault). O [[g0010-turla|Turla]] é conhecido por usar suas ferramentas de reconnaissance para mapear bases de dados antes de extrair credenciais de acesso. **Passo 2 - Acesso e extração dos dados** Com credenciais válidas (obtidas por [[ta0006-credential-access|Credential Access]] ou presentes em arquivos de configuração), o atacante conecta diretamente ao banco e executa dumps: `mysqldump`, `pg_dump`, `mongodump`, `sqlcmd`, ou consultas SQL diretas (`SELECT * FROM users`). Em ambientes de nuvem, pode-se usar APIs nativas (AWS CLI, Azure Data Studio) com credenciais comprometidas. O [[s0598-pas-webshell|P.A.S. Webshell]], utilizado pelo [[g0034-sandworm|Sandworm Team]], inclui funcionalidade de query direta a bancos MySQL/PostgreSQL via interface web. **Passo 3 - Empacotamento e preparação para exfiltração** Os dumps gerados são comprimidos (via [[t1560-archive-collected-data|T1560 - Archive Collected Data]]) para reduzir o volume e dificultar detecção por DLP. Em ataques de extorsão, o material é retido como prova para cobrança de resgate - prática comum em campanhas do [[g0037-fin6|FIN6]] e grupos derivados. Em operações de espionagem (Sea Turtle, Turla), os dados são enviados para infraestrutura de C2 sob cobertura de tráfego HTTPS legítimo. ## Detecção ### Event IDs Relevantes (Windows / Bancos de Dados) | Event ID | Fonte | Descrição | |----------|-------|-----------| | 4624 | Security (Windows) | Logon de conta - acessos fora de horário ao servidor de banco de dados | | 4648 | Security (Windows) | Logon com credenciais explícitas - conexão ao DB usando conta de serviço de forma atípica | | 4698 | Security (Windows) | Tarefa agendada criada - automação de dump recorrente | | 4663 | Security (Windows) | Acesso a objeto - criação de arquivos `.sql`, `.bak`, `.dump` em diretórios não padrão | | 1 | Sysmon | ProcessCreaté - execução de `mysqldump.exe`, `pg_dump.exe`, `sqlcmd.exe` fora de jánelas de manutenção | | 3 | Sysmon | NetworkConnect - conexão às portas 3306, 5432, 1433, 27017 por processos não-padrão | ### Sigma Rule ```yaml title: Suspicious Database Dump Utility Execution id: 3e7a1b2c-9d4f-4e8a-b1c2-d3e4f5a6b7c8 status: experimental description: > Detecta execução de utilitários de dump de banco de dados em horários incomuns ou por usuários não administradores - padrão consistente com T1213.006. references: - https://attack.mitre.org/techniques/T1213/006/ author: RunkIntel daté: 2026-03-24 logsource: category: process_creation product: windows detection: selection: Image|endswith: - '\mysqldump.exe' - '\pg_dump.exe' - '\mongodump.exe' - '\sqlcmd.exe' - '\bcp.exe' CommandLine|contains: - '--all-databases' - '-A ' - '--dump' - 'SELECT' filter_admin: User|contains: - 'DBA' - 'backup' - 'svc-db' condition: selection and not filter_admin falsepositives: - Rotinas de backup agendadas por administradores de banco de dados - Scripts de migração durante jánelas de manutenção documentadas level: high tags: - attack.collection - attack.t1213.006 ``` ## Mitigação | ID | Mitigação | Aplicação em Organizações Brasileiras | |----|-----------|---------------------------------------| | [[m1018-user-account-management\|M1018 - User Account Management]] | Gerenciamento de contas | Implementar princípio do menor privilégio: contas de aplicação só devem ter SELECT nas tabelas necessárias. Proibir uso de `root`/`sa` por aplicações. Fundamental para compliance com LGPD (Art. 46 - medidas técnicas de segurança). | | [[m1047-audit\|M1047 - Audit]] | Auditoria | Habilitar auditoria nativa de banco de dados (MySQL General Log, PostgreSQL pgaudit, SQL Server Audit) com retenção mínima de 90 dias - conforme recomendação do BACEN para instituições financeiras. | | [[m1041-encrypt-sensitive-information\|M1041 - Encrypt Sensitive Information]] | Criptografia | Dados sensíveis (CPF, dados de saúde, número de cartão) devem ser armazenados com criptografia de nível de coluna (AES-256). Criptografia de banco completo (TDE) dificulta extração direta de arquivos de dados. | | [[m1054-software-configuration\|M1054 - Software Configuration]] | Configuração segura | Desabilitar features desnecessárias (MySQL `FILE` privilege, SQL Server `xp_cmdshell`, PostgreSQL `COPY TO`). Bancos de dados não devem ter acesso direto à internet. Usar firewall de banco de dados (ex.: Imperva, AWS RDS Security Groups). | | [[m1017-user-training\|M1017 - User Training]] | Treinamento | Treinar DBAs e desenvolvedores sobre riscos de credenciais em código-fonte, arquivos `.env` e repositórios git - vetor inicial mais comum em ataques a bancos de dados no Brasil. | | Monitoramento comportamental | UEBA/SIEM | Alertar para SELECT em massa, dumps fora de jánela de manutenção e acessos de IPs não cadastrados. Soluções como Microsoft Defender for SQL, Amazon GuardDuty e Wazuh cobrem parcialmente esse caso. | ## Threat Actors que Usam - [[g0034-sandworm|Sandworm Team]] - unidade do GRU russo (Unidade 74455); responsável por ataques à infraestrutura crítica da Ucrânia com acesso a bancos de dados operacionais de utilities elétricas. Relevante para o Brasil dada a expansão de operações do grupo na América Latina e potenciais alvos em Eletrobras e concessionárias. - [[g0037-fin6|FIN6]] - grupo de crime financeiro com foco em sistemas de ponto de venda e e-commerce; extrai bancos de dados de cartões de crédito e dados de clientes. Alto risco para o varejo brasileiro, que movimentou R$ 185 bilhões em e-commerce em 2024. - [[g1041-sea-turtle|Sea Turtle]] - operador de espionagem ligado à Turquia (Teal Kurma); comprometeu registradores de DNS e provedores de hospedagem para obter acesso a bancos de dados de sistemas governamentais. Realizou operações contra países do Oriente Médio com expansão para alvos europeus e latino-americanos. - [[g0010-turla|Turla]] - APT russo com décadas de atividade; usa implantes como [[s1146-mgbot|MgBot]] para reconhecimento e acesso furtivo a bases de dados de sistemas governamentais e diplomáticos. ## Software Associado - [[s0598-pas-webshell|P.A.S. Webshell]] (malware) - webshell com interface de gestão de banco de dados integrada (MySQL, PostgreSQL); amplamente associado ao [[g0034-sandworm|Sandworm Team]] em ataques a servidores web comprometidos. - [[s1146-mgbot|MgBot]] (malware) - implante modular do [[g0010-turla|Turla]] com plugins especializados para extração de dados de bancos SQL Server e outras fontes de informação corporativa. --- *Fonte: [MITRE ATT&CK - T1213.006](https://attack.mitre.org/techniques/T1213/006)*