t1020-automated-exfiltration

# T1020 - Exfiltração Automatizada ## Descrição Adversários podem exfiltrar dados - como documentos sensíveis, credenciais, registros de banco de dados ou qualquer material coletado durante a fase de [[t1119-automated-collection|coleta automatizada]] - por meio de processos automatizados, sem interação manual a cada ciclo de envio. Essa abordagem reduz o tempo de presença ativa do operador no ambiente comprometido, diminuindo a jánela de exposição e tornando o comportamento mais difícil de correlacionar com atividade humana. A exfiltração automatizada geralmente ocorre em conjunto com outras técnicas de saída de dados. O processo automatizado decide *o quê* exfiltrar e *quando*, enquanto as técnicas de transporte - como [[t1041-exfiltration-c2|T1041 - Exfiltração pelo Canal C2]] ou [[t1048-exfiltration-alternative-protocol|T1048 - Exfiltração por Protocolo Alternativo]] - determinam *como* os dados saem da rede. Em dispositivos de rede comprometidos (roteadores, switches, firewalls), a automação pode operar em nível de firmware ou sistema operacional embarcado, tornando a detecção ainda mais desafiadora. Grupos como [[g0047-gamaredon|Gamaredon Group]], [[g1039-redcurl|RedCurl]] e [[g0121-sidewinder|Sidewinder]] utilizam essa técnica para garantir exfiltração contínua mesmo durante períodos em que o operador não está ativo. ## Attack Flow ```mermaid graph TB A([Acesso Persistente ao Ambiente]) --> B[Implante / Script de Coleta] B --> C[Identificação de dados de interesse] C --> D[Staged: arquivos preparados para envio] D --> E{Processo Automatizado} E --> F[Agendamento - cron / tarefa / timer] E --> G[Gatilho por evento - novo arquivo, threshold] F --> H[Canal de Exfiltração] G --> H H --> I[C2 / Protocolo Alternativo / Duplicação de Tráfego] I --> J([Servidor do Adversário]) style A fill:#2d2d2d,color:#fff style J fill:#8b0000,color:#fff style E fill:#4a4a00,color:#fff ``` ## Sub-técnicas - [[t1020-001-traffic-duplication|T1020.001 - Traffic Duplication]] ## Grupos que Utilizam essa Técnica | Grupo | Perfil | Contexto | |-------|--------|---------| | [[g0121-sidewinder\|Sidewinder]] | APT - espionagem | Campanhas contra alvos governamentais e militares na Ásia do Sul | | [[g0004-apt15\|Ke3chang]] | APT - China | Espionagem diplomática e governamental | | [[g1039-redcurl\|RedCurl]] | Cibercrime - espionagem corporativa | Exfiltração de documentos corporativos de forma furtiva | | [[g1035-winter-vivern\|Winter Vivern]] | APT - Europa Oriental | Campanhas contra governos europeus e entidades da OTAN | | [[g0081-tropic-trooper\|Tropic Trooper]] | APT - Taiwan/China | Ataques a governo e transporte em Taiwan e Filipinas | | [[g0047-gamaredon\|Gamaredon Group]] | APT - Rússia | Campanhas persistentes contra a Ucrânia | ## Detecção A detecção de exfiltração automatizada requer análise comportamental do endpoint e correlação de tráfego de rede: - Identificar processos ou scripts com agendamento (cron, Tarefas Agendadas do Windows) que acessam diretórios de arquivos sensíveis de forma recorrente - Monitorar picos de tráfego de saída em horários fora do padrão de uso humano - Detectar criação e leitura sequencial de arquivos em diretórios temporários seguida de tráfego de rede - Em dispositivos de rede, auditar configurações de port mirroring ou replicação de tráfego não autorizadas Fontes de dados MITRE: [[dc0032-network-traffic-content|DC0032 - Network Traffic Content]], [[dc0033-network-traffic-flow|DC0033 - Network Traffic Flow]], [[dc0017-command-execution|DC0017 - Command Execution]], [[dc0009-file-access|DC0009 - File Access]]. ## Software Associado | Software | Tipo | Observação | |----------|------|------------| | [[s0491-strongpity\|StrongPity]] | Malware | Módulo de coleta e exfiltração automatizada de documentos | | [[s0395-lightneuron\|LightNeuron]] | Malware | Implante em servidores Exchange que exfiltra e-mails automaticamente | | [[s0363-empire\|Empire]] | Framework | Módulos de coleta e exfiltração automatizada pós-exploração | | [[s0600-doki\|Doki]] | Malware | Acessa APIs de nuvem para exfiltração automatizada | | [[s0090-rover\|Rover]] | Malware | Coleta e exfiltra arquivos automaticamente de drives USB e rede | | [[outsteel\|OutSteel]] | Malware | Stealer com exfiltração automatizada voltado a alvos ucranianos | | [[s0643-peppy\|Peppy]] | Malware | Malware de espionagem com coleta e envio automático de documentos | | [[g0095-machete\|Machete]] | Malware | RAT com foco em espionagem - exfiltração automatizada de documentos, capturas de tela e GPS | | [[s0377-ebury\|Ebury]] | Malware | Backdoor SSH com exfiltração automatizada de credenciais | | [[s1148-raccoon-stealer\|Raccoon Stealer]] | Malware | Stealer-as-a-Service com pipeline automatizado de coleta e exfiltração | ## Referências Cruzadas - Frequentemente precedida por [[t1119-automated-collection|T1119 - Automated Collection]] (coleta automática dos dados) - Canal de transporte mais comum: [[t1041-exfiltration-c2|T1041 - Exfiltração pelo Canal C2]] - Alternativa de canal: [[t1048-exfiltration-alternative-protocol|T1048 - Exfiltração por Protocolo Alternativo]] - Sub-técnica de rede: [[t1020-001-traffic-duplication|T1020.001 - Traffic Duplication]] ## Contexto Brasil/LATAM No Brasil e na América Latina, a exfiltração automatizada é um componente central das operações de ransomware de dupla extorsão e de espionagem corporativa - dois vetores de ameaça predominantes na região. Grupos como [[lockbit-ransomware|LockBit]] e [[blackcat|BlackCat]], ativos em campanhas contra o setor [[financial|financeiro]] e de [[healthcare|saúde]] brasileiro, utilizam ferramentas de exfiltração automatizada (como Rclone, MEGASync e variantes customizadas) para transferir terabytes de dados antes de acionar a criptografia - maximizando a alavancagem para o pagamento do resgate. O malware [[g0095-machete|Machete]], desenvolvido com foco operacional na América Latina e frequentemente associado a campanhas de espionagem contra entidades governamentais de países como Venezuela, Equador e Colômbia, implementa exfiltração automatizada de documentos, capturas de tela e dados de geolocalização. Seu pipeline automatizado opera em intervalos configuráveis, reduzindo a jánela de exposição do operador e dificultando a correlação temporal com atividade humana. No setor financeiro brasileiro, o [[s1148-raccoon-stealer|Raccoon Stealer]] e suas variantes são amplamente utilizados como plataformas de Stealer-as-a-Service com pipelines automatizados de coleta e envio de credenciais, cookies de sessão e dados de carteira de criptomoeda. A automação elimina a necessidade de intervenção manual após a infecção inicial, tornando o ataque escalável mesmo com operadores de baixa sofisticação técnica. A presença do [[s0377-ebury|Ebury]] em servidores Linux de provedores de hospedagem brasileiros demonstra como a exfiltração automatizada de credenciais SSH pode comprometer cadeias inteiras de supply chain de infraestrutura, afetando múltiplos clientes de um único servidor comprometido. O CERT.br registrou incidentes relacionados a esse vetor em hospedeiras nacionais de médio porte. Para detecção eficaz no contexto brasileiro, o monitoramento de tráfego DNS atípico e de conexões para serviços de armazenamento em nuvem fora do perfil esperado - como Mega.nz, Dropbox ou Google Drive - é especialmente relevante, dado o abuso desses serviços como canais de [[t1048-exfiltration-alternative-protocol|exfiltração por protocolo alternativo]]. --- *Fonte: MITRE ATT&CK - T1020, versão 16.2*