t1560-archive-collected-data

# T1560 - Archive Collected Data ## Descrição Antes de exfiltrar dados roubados, adversários frequentemente comprimem e/ou criptografam o material coletado. Essa prática reduz o volume de dados transmitidos pela rede, dificulta a detecção por inspeção de tráfego e torna a exfiltração menos conspícua para ferramentas de DLP e análise de pacotes. No contexto brasileiro e latino-americano, essa técnica é amplamente utilizada por grupos que operam contra o setor financeiro, energia elétrica e órgãos governamentais. O [[g0032-lazarus-group|Lazarus Group]], por exemplo, usou arquivos comprimidos protegidos por senha em ataques contra exchanges de criptomoedas - um vetor relevante dado o crescimento do mercado cripto no Brasil. O [[g0050-apt32|APT32]] (OceanLotus), com histórico de operações na América Latina, também utilizou arquivos RAR e ZIP customizados para empacotamento de dados antes de exfiltração via canais HTTPS encobertos. Grupos de ransomware como o [[g1043-blackbyte|BlackByte]], que afetaram infraestruturas críticas no Brasil em 2023, rotineiramente arquivam bancos de dados corporativos e documentos sensíveis antes de publicá-los em seus sites de vazamento caso o resgate não sejá pago - prática conhecida como "double extortion". A técnica é executada antes da fase de [[ta0010-exfiltration|Exfiltração]] e frequentemente combina compressão (RAR, ZIP, 7-Zip) com criptografia por senha para impedir análise forense. Está estreitamente relacionada a [[t1560-001-archive-via-utility|T1560.001 - Archive via Utility]], [[t1560-002-archive-via-library|T1560.002 - Archive via Library]] e [[t1560-003-archive-via-custom-method|T1560.003 - Archive via Custom Method]]. ## Attack Flow ```mermaid graph TB A[Acesso Inicial] --> B[Movimento Lateral] B --> C[Coleta de Dados] C --> D["T1560 - Archive Collected Data<br/>(compressão + criptografia)"]:::highlight D --> E[Exfiltração] E --> F[Impacto / Vazamento] classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b ``` ## Como Funciona **Passo 1 - Identificação e coleta do material sensível** O adversário primeiro executa [[ta0009-collection|Collection]] para reunir arquivos de interesse: documentos corporativos, dumps de banco de dados, credenciais, e-mails ou capturas de tela. Ferramentas como [[s0521-bloodhound|BloodHound]] auxiliam na identificação de ativos de alto valor na rede interna antes da coleta. **Passo 2 - Compressão e criptografia do payload** O material coletado é empacotado usando utilitários como `rar.exe`, `7z.exe` ou `zip` com senha definida pelo atacante. Versões mais sofisticadas usam bibliotecas embutidas no malware (como no [[s1039-bumblebee|Bumblebee]]) para gerar archives sem chamar binários externos que poderiam ser detectados por EDR. Grupos avançados como o [[g0007-apt28|APT28]] empregam métodos de arquivamento customizados para dificultar a identificação por assinatura. **Passo 3 - Staging e exfiltração** O arquivo comprimido é colocado em um diretório de staging (geralmente temp, AppData ou pastas de rede compartilhada) para posterior exfiltração via [[ta0010-exfiltration|Exfiltração]] - sejá por protocolos padrão (HTTPS, FTP), serviços de nuvem ou ferramentas de C2 como [[s0363-empire|Empire]]. O nome do arquivo frequentemente imita arquivos legítimos do sistema (ex.: `backup_system_20260324.zip`). ## Detecção ### Event IDs Relevantes (Windows) | Event ID | Fonte | Descrição | |----------|-------|-----------| | 4688 | Security | Criação de processo - monitorar execução de `rar.exe`, `7z.exe`, `zip.exe` com argumento de senha (`-p`) | | 4663 | Security | Acesso a objeto - criação de arquivos `.rar`, `.zip`, `.7z` em diretórios temporários | | 11 | Sysmon | FileCreaté - arquivo de archive criado em `%TEMP%`, `%APPDATA%` ou pastas de rede | | 1 | Sysmon | ProcessCreaté - execução de utilitários de compressão com linha de comando suspeita | | 3 | Sysmon | NetworkConnect - conexão de rede imediatamente após criação de archive (staging + exfil em sequência) | ### Sigma Rule ```yaml title: Archiving Utility with Password Parameter id: 7c54e8a0-4f1b-4c2d-9e3a-1b2c3d4e5f6a status: experimental description: > Detecta execução de utilitários de compressão comuns com parâmetros de senha, padrão consistente com T1560 - empacotamento de dados antes de exfiltração. references: - https://attack.mitre.org/techniques/T1560/ author: RunkIntel daté: 2026-03-24 logsource: category: process_creation product: windows detection: selection_rar: Image|endswith: - '\rar.exe' - '\WinRAR.exe' CommandLine|contains: - ' -p' - ' -hp' selection_7zip: Image|endswith: '\7z.exe' CommandLine|contains: - ' -p' - ' a ' selection_zip: Image|endswith: '\zip.exe' CommandLine|contains: '--password' condition: 1 of selection_* falsepositives: - Administradores comprimindo backups legítimos com senha - Scripts de automação de TI level: medium tags: - attack.collection - attack.t1560 - attack.t1560.001 ``` ## Mitigação | ID | Mitigação | Aplicação em Organizações Brasileiras | |----|-----------|---------------------------------------| | [[m1047-audit\|M1047 - Audit]] | Auditoria contínua | Implementar SIEM (Splunk, QRadar, Wazuh) para correlacionar criação de archives com acessos massivos a arquivos. Órgãos públicos devem integrar ao SOC do CTIR Gov quando disponível. | | Controle de aplicação | Allowlisting | Bloquear execução de binários de compressão não autorizados via AppLocker ou Windows Defender Application Control - especialmente em servidores de arquivos e bancos de dados. | | DLP de endpoint | Monitoramento de saída | Ferramentas de DLP devem inspecionar transfers de arquivos comprimidos em USB e cloud storage (OneDrive, Google Drive, Dropbox) - especialmente em ambientes financeiros regulados pela LGPD. | | Segmentação de rede | Defesa em profundidade | Limitar o acesso de workstations a compartilhamentos de rede contendo dados sensíveis; monitorar acessos massivos a múltiplos arquivos em curto intervalo (padrão pré-arquivamento). | | EDR comportamental | Detecção de anomalias | Soluções como CrowdStrike, SentinelOne ou Microsoft Defender for Endpoint detectam padrões de arquivamento em massa seguido de conexão de rede - priorizar implantação em ativos críticos. | ## Threat Actors que Usam - [[g0035-dragonfly|Dragonfly]] - grupo vinculado à Rússia com foco em infraestrutura crítica (energia, oil & gas); comprime dados operacionais de SCADA antes de exfiltração via canais cifrados. - [[g0032-lazarus-group|Lazarus Group]] - operações norte-coreanas contra setor financeiro global, incluindo exchanges de criptomoedas com presença no Brasil; usa RAR com senha em operações de espionagem financeira. - [[g0007-apt28|APT28]] - GRU russo, utiliza ferramentas customizadas de arquivamento integradas ao [[s0045-advstoreshell|ADVSTORESHELL]] e outros implantes; histórico de campanhas contra governos latino-americanos. - [[g0050-apt32|APT32]] - OceanLotus vietnamita, ativo na América Latina; emprega arquivamento de dados combinado com [[ta0011-command-and-control|C2]] baseado em serviços legítimos de nuvem. - [[g1043-blackbyte|BlackByte]] - ransomware-as-a-service com ataques confirmados no Brasil (setor industrial e governo municipal); arquiva e criptografa dados para dupla extorsão. - [[g0037-fin6|FIN6]] - grupo de crime financeiro; coleta e arquiva dados de POS e cartões antes de exfiltração - relevante para o varejo e e-commerce brasileiros. - [[g0040-patchwork|Patchwork]] - grupo sul-asiático com foco em espionagem; usa arquivamento de documentos em campanhas de coleta de propriedade intelectual. - [[g1014-luminousmoth|LuminousMoth]] - APT asiático com expansão geográfica; comprime documentos coletados via [[s0363-empire|Empire]] e ferramentas customizadas. ## Software Associado - [[s1039-bumblebee|Bumblebee]] (malware) - loader com capacidade de arquivamento embutida; usado como precursor de ransomware em campanhas que afetaram o Brasil. - [[s0363-empire|Empire]] (ferramenta) - framework ofensivo com módulo de compressão de stage de exfiltração; amplamente usado em red teams e por atores avançados. - [[s0521-bloodhound|BloodHound]] (ferramenta) - identifica ativos de alto valor antes da coleta; frequentemente precede o uso de T1560 em ataques a Active Directory. - [[s0667-chrommme|Chrommme]] (malware) - backdoor associado ao [[g0035-dragonfly|Dragonfly]]; coleta e comprime dados do browser e sistema. - [[s0343-exaramel-for-windows|Exaramel for Windows]] (malware) - implante modular do [[g0035-dragonfly|Dragonfly]] com capacidade de archive de arquivos coletados. - [[s0586-taintedscribe|TAINTEDSCRIBE]] (malware) - implante norte-coreano (Lazarus) com funcionalidade de empacotamento de dados antes de exfiltração. - [[s0045-advstoreshell|ADVSTORESHELL]] (malware) - backdoor do [[g0007-apt28|APT28]] com suporte a arquivamento de dados sensíveis. - [[s0515-wellmail|WellMail]] (malware) - utilizado pelo APT29 para coletar e arquivar e-mails corporativos. - [[s0454-cadelspy|Cadelspy]] (malware) - spyware iraniano que comprime capturas de tela e keylog antes de exfiltrar. ## Sub-técnicas - [[t1560-001-archive-via-utility|T1560.001 - Archive via Utility]] - [[t1560-002-archive-via-library|T1560.002 - Archive via Library]] - [[t1560-003-archive-via-custom-method|T1560.003 - Archive via Custom Method]]