# T1560.003 - Archive via Custom Method ## Técnica Pai Esta é uma sub-técnica de [[t1560-archive-collected-data|T1560 - T1560 - Archive Collected Data]]. ## Descrição Adversários que buscam exfiltrar dados de uma vítima frequentemente precisam compactar ou cifrar os arquivos coletados antes de enviá-los para fora da rede. A técnica **T1560.003 - Archive via Custom Method** descreve o uso de métodos de arquivamento e criptografia implementados diretamente no código malicioso, sem depender de ferramentas externas como `zip`, `7-Zip` ou `rar`. O adversário incorpora algoritmos como XOR, RC4 ou variantes simplificadas de AES diretamente no binário do implante, eliminando a necessidade de utilitários que poderiam ser detectados por EDRs ou bloqueados por políticas de software. Essa abordagem é especialmente eficaz em ambientes com controles rígidos de allowlisting, nos quais ferramentas de compressão conhecidas estão monitoradas ou proibidas. Ao implementar a rotina de arquivamento internamente, o malware reduz sua assinatura comportamental e dificulta a correlação com padrões conhecidos de compressão. Algoritmos de stream cipher como RC4 ou variações customizadas de XOR são particularmente comuns pela simplicidade de implementação e pela ausência de dependências externas. **Contexto Brasil/LATAM:** No cenário brasileiro, grupos como [[g0032-lazarus-group|Lazarus Group]] e [[g0037-fin6|FIN6]] já foram associados a campanhas de espionagem e exfiltração de dados contra o setor [[financial]] e [[government]]. A técnica de arquivamento customizado é especialmente crítica em operações de [[espionagem]] prolongada - muito comum nos ataques APT que têm o Brasil como alvo - pois permite que grandes volumes de dados sejam preparados e exfiltrados de forma discreta ao longo de semanas. Organizações brasileiras nos setores de energia e governo federal são alvos prioritários dessa tática, dado o alto valor estratégico das informações que possuem. ## Attack Flow ```mermaid graph TB A([Acesso Inicial]) --> B([Coleta de Dados]) B --> C([Compressão / Cifragem Customizada]):::highlight C --> D([Staging]) D --> E([Exfiltração]) classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona ### 1. Preparação O adversário identifica os dados de interesse - documentos confidenciais, credenciais, propriedade intelectual - e define quais serão exfiltrados. O implante já carrega embutida a rotina de compressão ou cifragem customizada, tipicamente baseada em XOR com chave hardcoded, RC4 ou implementações simplificadas de LZ77/LZMA. Não há dependência de bibliotecas externas nem de ferramentas presentes no sistema operacional. ### 2. Execução O malware itera sobre os arquivos coletados e aplica a rotina de compactação/cifragem byte a byte, gerando um arquivo de saída com extensão arbitrária (`.tmp`, `.log`, `.dat`) para disfarçar o conteúdo. Em implementações mais sofisticadas, como as observadas no [[s0038-duqu|Duqu]] e no [[s0603-stuxnet|Stuxnet]], múltiplas camadas de compressão são aplicadas sequencialmente. O arquivo resultante é armazenado em diretório de staging - frequentemente `%TEMP%` ou subpastas de sistema - aguardando exfiltração. ### 3. Pós-execução Após a exfiltração, o arquivo de staging é apagado para cobrir rastros. O adversário pode manter a rotina ativa para processar novos dados coletados em ciclos subsequentes. A ausência de chamadas a utilitários externos (`CreateProcess` para `zip.exe`, por exemplo) torna a detecção baseada em comportamento de processo significativamente mais difícil. ## Detecção A detecção desta técnica requer análise de comportamento do processo e inspeção de conteúdo de arquivos, já que não há chamadas a utilitários externos rastreáveis. **Event IDs relevantes (Windows):** | Event ID | Canal | O que monitorar | |----------|-------|-----------------| | 4663 | Security | Acesso a múltiplos arquivos em sequência rápida (File System Activity) | | 4656 | Security | Abertura de handles em massa para arquivos de dados sensíveis | | 11 (Sysmon) | Microsoft-Windows-Sysmon | Criação de arquivos com extensões incomuns em `%TEMP%` ou pastas de sistema | | 23 (Sysmon) | Microsoft-Windows-Sysmon | Deleção de arquivo após criação de arquivo de staging | | 7 (Sysmon) | Microsoft-Windows-Sysmon | Carregamento de imagem - ausência de DLLs de compressão (detectar pela negativa) | **Sigma Rule:** ```yaml title: Archive via Custom Method - Suspicious File Creation in Temp id: a3f7c2d1-8e4b-4a9f-b6d3-1c2e5f8a9b0c status: experimental description: > Detecta criação de arquivo com extensão incomum em diretório temporário logo após acesso massivo a arquivos de dados - indicativo de arquivamento via método customizado (T1560.003). references: - https://attack.mitre.org/techniques/T1560/003/ author: RunkIntel daté: 2026-03-24 tags: - attack.collection - attack.t1560.003 logsource: product: windows category: file_event detection: selection_temp: TargetFilename|contains: - '\AppData\Local\Temp\' - '\Windows\Temp\' - '\ProgramData\' TargetFilename|endswith: - '.tmp' - '.dat' - '.log' - '.bin' filter_legit: Image|contains: - '\Windows\system32\' - '\Program Files\' condition: selection_temp and not filter_legit falsepositives: - Aplicações legítimas que criam arquivos temporários - Instaladores e atualizadores de software level: medium ``` ## Mitigação | Controle | Descrição | Recomendação para Organizações Brasileiras | |----------|-----------|-------------------------------------------| | Monitoramento de File System | Auditoria de criação/exclusão de arquivos em diretórios temporários | Habilitar auditoria de objetos (SACL) em `%TEMP%`, `%APPDATA%` e pastas de sistema via GPO | | EDR com análise comportamental | Detecção de acesso sequencial a múltiplos arquivos por um processo suspeito | Configurar regras de detecção de "mass file access" no EDR - comum no setor bancário BR | | DLP (Data Loss Prevention) | Monitoramento de criação de arquivos de grande volume fora de rotinas conhecidas | Implantação de DLP é obrigatória para instituições financeiras reguladas pelo BACEN | | Controle de integridade de executáveis | Garantir que binários não conhecidos não possam executar rotinas de I/O em massa | Allowlisting via AppLocker ou Windows Defender Application Control (WDAC) | | Segmentação de rede | Reduzir pontos de staging e exfiltração disponíveis ao adversário | Microsegmentação entre workstations e servidores de dados - crítico em ambientes LGPD | ## Threat Actors - [[g0037-fin6|FIN6]] - grupo de cibercrime financeiro que usa arquivamento customizado em campanhas contra varejistas e processadoras de pagamento, incluindo operações na América Latina. - [[g0052-copykittens|CopyKittens]] - grupo iraniano com histórico de exfiltração de dados de inteligência usando métodos de compressão embarcados nos implantes. - [[g0129-mustang-panda|Mustang Panda]] - APT chinês que emprega arquivamento XOR-based em campanhas de espionagem contra governo e ONGs na região LATAM. - [[g0094-kimsuky|Kimsuky]] - grupo norte-coreano que usa rotinas de cifragem customizadas em RATs para preparar dados antes da exfiltração via C2. - [[g1048-unc3886|UNC3886]] - cluster de espionagem associado à China, com uso de arquivamento customizado em implantes para ESXi e sistemas Linux. - [[g0030-raspberry-typhoon|Lotus Blossom]] - APT chinês com operações de espionagem prolongada que depende de arquivamento silencioso para manter baixo perfil. - [[g0032-lazarus-group|Lazarus Group]] - grupo norte-coreano responsável por operações financeiras massivas, usando implementações customizadas de compressão em malware como [[s0448-rising-sun|Rising Sun]] e [[s0657-bluelight|BLUELIGHT]]. ## Software Associado - [[s0438-attor|Attor]] - espião modular que usa cifragem customizada para empacotar dados coletados de plugins antes da exfiltração. - [[s0657-bluelight|BLUELIGHT]] - implante do Lazarus Group com rotina própria de cifragem de dados coletados, sem dependências externas. - [[s0038-duqu|Duqu]] - malware de espionagem avançado com múltiplas camadas de compressão implementadas internamente, derivado do código do Stuxnet. - [[s0603-stuxnet|Stuxnet]] - worm de sabotagem industrial com sofisticadas rotinas de compressão embutidas, referência técnica para arquivamento customizado. - [[s0035-spaceship|SPACESHIP]] - implante APT com staging cifrado de dados coletados antes da transmissão ao C2. - [[s0661-foggyweb|FoggyWeb]] - backdoor de servidor AD FS que cifra dados exfiltrados usando rotinas customizadas. - [[s0198-netwire|NETWIRE]] - RAT comercial com funcionalidade embutida de compressão e cifragem de dados coletados. - [[s0448-rising-sun|Rising Sun]] - implante modular do Lazarus Group com compressão de arquivos baseada em algoritmo próprio. - [[s0491-strongpity|StrongPity]] - malware de espionagem que usa compressão customizada para preparar documentos coletados para exfiltração. - [[s0258-rgdoor|RGDoor]] - backdoor IIS que implementa cifragem própria de dados antes de retorná-los ao operador. --- *Fonte: [MITRE ATT&CK - T1560.003](https://attack.mitre.org/techniques/T1560/003)*