# T1092 - Comúnicação por Mídia Removível
## Descrição
Esta técnica descreve o uso de mídias removíveis - pen drives, HDs externos, cartões SD - como canal de comando e controle entre máquinas comprometidas, especialmente quando parte da infraestrutura alvo está isolada da internet (air-gap). O princípio é simples: um sistema conectado à internet recebe comandos do adversário e os escreve em uma mídia removível; essa mídia é então transportada (manualmente ou por um processo automatizado) até o sistema isolado, que lê e executa os comandos, depois escreve os resultados de volta na mídia para exfiltração posterior.
Para que o ataque funcione, ambos os sistemas devem estar comprometidos - o sistema com acesso à internet geralmente é infectado primeiro por meios convencionais, enquanto o sistema air-gapped é comprometido via [[t1091-replication-through-removable-media|T1091 - Replicação por Mídia Removível]]. O fluxo de dados é assíncrono por natureza: o adversário não tem acesso em tempo real ao sistema isolado, mas consegue manter uma comunicação periódica a cada vez que a mídia é fisicamente transportada entre as máquinas.
Grupos de espionagem de estado, como o [[g0007-apt28|APT28]], usaram esta técnica em campanhas contra infraestruturas críticas com políticas rígidas de segmentação de rede. Ferramentas como [[chopstick|CHOPSTICK]] e [[s0136-usbstealer|USBStealer]], associadas ao APT28, foram projetadas específicamente para este cenário - monitorar dispositivos USB conectados, copiar arquivos de interesse e plantar arquivos de comando para execução futura.
**Contexto Brasil/LATAM:** No Brasil, ambientes industriais (ICS/SCADA) do setor de energia elétrica e petróleo e gás frequentemente operam em redes segregadas para proteger equipamentos legados. A prática comum de usar pen drives para transferir arquivos entre redes OT e IT representa um vetor de risco significativo para esta técnica. Incidentes em refinarias e subestações de energia na América Latina já envolveram o uso inadvertido de mídias removíveis como vetor de propagação, embora raramente atribuídos a C2 deliberado por atores de estado. A conscientização sobre o risco do uso de pen drives pessoais em ambientes industriais é ainda baixa na região.
## Attack Flow
```mermaid
graph TB
A[Sistema IT Comprometido] --> B[Escrita de Comandos na Mídia]
B --> C[**Transporte Físico**]
C --> D[Sistema OT/Air-Gap Comprometido]
D --> E[Exfiltração via Mídia]
```
## Como Funciona
1. **Preparação:** O adversário compromete um sistema com acesso à internet e instala um componente de relay - software que monitora pen drives conectados, escreve arquivos de comando em diretórios ocultos da mídia e coleta os resultados deixados pelo componente no sistema isolado. O sistema air-gapped é comprometido separadamente, geralmente via [[t1091-replication-through-removable-media|T1091]], e tem instalado um componente complementar que monitora a mídia, lê comandos e escreve respostas.
2. **Execução:** A cada vez que um usuário conecta um pen drives no sistema com internet, o relay automaticamente grava os comandos pendentes em pastas ocultas ou usando nomes de arquivo disfarçados. Quando esse mesmo pen drive (ou outro da mesma organização) é conectado ao sistema isolado, o implante lê os comandos, executa-os e salva os resultados na mídia.
3. **Pós-execução:** Quando a mídia retorna à máquina com internet, o relay coleta os resultados e os envia ao adversário. O ciclo se repete indefinidamente enquanto as mídias continuam circulando entre as redes. A periodicidade do C2 é ditada pela frequência de uso da mídia pelos próprios usuários legítimos da organização.
**Exemplo:**
```bash
# Detecção: monitorar criação de arquivos em raiz de dispositivos removíveis
# Windows - Auditar criação de arquivos em drives removíveis via Audit Object Access
# Sysmon Event ID 11 (FileCreaté) com TargetFilename apontando para drive removível:
# TargetFilename: E:\*.dat ou E:\~$*.tmp (padrões usados por implantes)
auditpol /set /subcategory:"Removable Storage" /success:enable /failure:enable
```
## Detecção
**Fontes de dados:** Logs de eventos de dispositivos removíveis (Windows Event ID 6416 - novo dispositivo externo reconhecido), Sysmon Event ID 11 (criação de arquivos em drives removíveis), logs de DLP (Data Loss Prevention), inventário de dispositivos USB autorizados, monitoramento de processos que acessam drives removíveis.
```yaml
title: File Written to Removable Media Root Directory
id: c4d7e290-1a3b-4f85-b912-6e0f1d5c9a28
status: experimental
description: Detects suspicious file creation in the root directory of removable drives, potentially indicative of C2 relay staging
logsource:
category: file_event
product: windows
service: sysmon
detection:
selection:
EventID: 11
TargetFilename|re: '^[D-Z]:\\[^\\]+\.(dat|bin|tmp|log|cfg)