t1029-scheduled-transfer

# T1029 - Scheduled Transfer ## Descrição Transferência agendada é uma técnica de exfiltração em que o adversário programa o envio dos dados para ocorrer apenas em determinados horários do dia ou em intervalos periódicos, em vez de realizar a exfiltração de forma contínua ou imediata após a coleta. O objetivo central é fazer com que o tráfego malicioso se misture ao fluxo legítimo da rede, aproveitando jánelas de alta atividade - horário comercial, processos de backup, sincronizações programadas - para que o volume de dados saindo não se destaque nas métricas de monitoramento. Essa técnica é quase sempre combinada com outras técnicas de exfiltração que definem o *canal* utilizado para a transferência. O agendamento em si determina *quando* os dados saem, enquanto técnicas como [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] ou [[t1048-exfiltration-over-alternative-protocol|T1048 - Exfiltration Over Alternative Protocol]] determinam *como* e *por onde* eles saem. Essa composição é característica de operações de longa duração (APT) que priorizam persistência e furtividade sobre velocidade. Do ponto de vista operacional de defesa, a transferência agendada é particularmente difícil de detectar sem análise de comportamento histórico de rede. Um único evento de exfiltração em horário de pico pode ser indistinguível de uma sincronização legítima. A detecção eficaz requer baselining de padrões de tráfego ao longo do tempo e alertas sobre *regularidade* estatisticamente improvável de transferências. ## Como Funciona O adversário configura o malware ou um mecanismo legítimo do sistema operacional para acionar a exfiltração em intervalos programados: **Via agendadores nativos do SO:** - **Windows Task Scheduler:** criação de tarefa agendada (`schtasks /creaté`) que executa um script de exfiltração em horário específico ou intervalo configurado - **cron (Linux/macOS):** entrada em crontab do usuário ou do sistema (`/etc/cron.d/`) que executa o payload de exfiltração diariamente, semanalmente ou em qualquer outra frequência **Via lógica interna do malware:** - O agente malicioso mantém um timer interno e verifica periodicamente se o horário atual está dentro de uma jánela permitida antes de iniciar qualquer transmissão - Algumas famílias de malware consultam a hora local e só operam em horários que correspondem ao fuso horário do alvo - indício adicional de operação sofisticada e planejada **Fragmentação temporal:** - Grandes volumes de dados são divididos em fragmentos menores transmitidos ao longo de dias ou semanas, evitando picos de tráfego que poderiam acionar alertas de anomalia de volume ## Attack Flow ```mermaid graph TB A[Acesso persistente ao sistema comprometido] --> B[Coleta e staging dos dados de interesse] B --> C[Configuração do mecanismo de agendamento] C --> D{Mecanismo escolhido} D -->|Windows| E[Task Scheduler - schtasks] D -->|Linux/macOS| F[cron / launchd] D -->|Malware interno| G[Timer embutido no agente] E --> H[Jánela de transmissão ativada no horário definido] F --> H G --> H H --> I[Exfiltração via canal configurado C2 ou alternativo] I --> J[Fragmentos transmitidos ao longo do tempo] J --> K[Dados exfiltrados de forma furtiva e graduada] ``` ## Exemplos de Uso **Higaisa:** o grupo APT de origem suspeita coreana utiliza o [[g0126-higaisa|Higaisa]] como operador documentado dessa técnica. O grupo configurou tarefas agendadas nos sistemas comprometidos para exfiltrar dados coletados pelo malware [[s0696-flagpro|Flagpro]] e [[s0283-jrat|jRAT]] em horários específicos, evitando transmissões durante finais de semana - comportamento que sugere consciência dos ciclos de monitoramento das equipes de SOC alvo. **Turla (Snake/Uroburos):** o grupo russo de espionagem Turla utiliza o [[s0126-comrat|ComRAT]] e o [[s0395-lightneuron|LightNeuron]] em operações de longa duração onde a exfiltração é dividida em pequenas transmissões agendadas ao longo de semanas. O LightNeuron, que abusa do servidor Microsoft Exchange como canal C2, agenda o envio de e-mails contendo dados exfiltrados em horários que imitam o comportamento de envio automático de newsletters. **MuddyWater (TEMP.Zagros):** o grupo iraniano utiliza o [[s0223-powerstats|POWERSTATS]] com lógica de jánela temporal configurável, limitando transmissões ao horário de expediente local do alvo para que o tráfego se misture ao uso legítimo da rede corporativa. **APT grupos com foco em espionagem industrial LATAM:** campanhas documentadas contra empresas de manufatura e energia na América do Sul utilizam RATs com agendamento de exfiltração noturna (madrugada local), aproveitando que as equipes de monitoramento operam em horário reduzido e os sistemas de backup legítimos geram tráfego similar nesse período, dificultando a distinção. ## Detecção ```yaml title: Tarefa agendada criada para exfiltração periódica status: experimental logsource: category: process_creation product: windows detection: selection_schtasks: Image|endswith: "\\schtasks.exe" CommandLine|contains: - "/creaté" - "/sc daily" - "/sc weekly" - "/sc minute" CommandLine|contains: - "powershell" - "cmd.exe" - "curl" - "bitsadmin" - "certutil" condition: selection_schtasks level: high ``` ```yaml title: Padrão recorrente de transferência de dados para destino externo status: experimental logsource: category: network_connection product: windows detection: selection: Initiated: "true" DestinationIsExternal: "true" BytesSent|gt: 1000000 timeframe: 24h condition: selection | count() by DestinationIp > 3 level: medium ``` Indicadores comportamentais adicionais: - Execução recorrente de processos de rede (curl, wget, powershell Invoke-WebRequest) em intervalos regulares e previsíveis - Tarefas agendadas criadas recentemente que invocam scripts ou executáveis em caminhos incomuns (temp, appdata, downloads) - Tráfego de saída que aparece exatamente nos mesmos horários em dias consecutivos - regularidade estatisticamente improvável em uso orgânico - Entradas de crontab modificadas recentemente em sistemas Linux/macOS, especialmente no contexto de usuário de serviço - Correlação temporal: picos de leitura de arquivos sensíveis seguidos, com atraso fixo, de conexões de rede saintes ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | [[m1031-network-intrusion-prevention\|M1031]] | Network Intrusion Prevention | Implementar análise comportamental de tráfego de rede com capacidade de detectar padrões de periodicidade anômala. Ferramentas de NDR (Network Detection and Response) como Darktrace, Vectra ou Zeek com análise de beaconing são especialmente eficazes para identificar transmissões regulares suspeitas. Complementar com UEBA para correlacionar eventos de agendamento com padrões de tráfego. | Controles adicionais recomendados: - **Auditoria de tarefas agendadas:** monitorar criação e modificação de tarefas via Event ID 4698 (Windows) e mudanças em crontab (Linux/macOS) com alertas para entradas criadas fora do processo de gerenciamento de configuração aprovado - **Baselining de tráfego:** estabelecer linha de base de padrões de tráfego por host e alertar sobre desvios estatísticos, especialmente transmissões que ocorrem em intervalos exatos - **Princípio do menor privilégio:** restringir quais usuários e processos podem criar tarefas agendadas, e auditar qualquer criação fora dos processos administrativos aprovados ## Contexto Brasil/LATAM No Brasil, campanhas de espionagem industrial e financeira que operam em longa duração frequentemente utilizam transferência agendada para maximizar o tempo de persistência antes da detecção. Em ambientes corporativos brasileiros com equipes de SOC que operam apenas em horário comercial (sem cobertura 24/7), a exfiltração noturna ou de madrugada oferece uma jánela de múltiplas horas sem monitoramento ativo - cenário que adversários como o [[g0126-higaisa|Higaisa]] e grupos similares exploram de forma sistemática. O setor financeiro brasileiro, incluindo bancos e fintechs reguladas pelo Banco Central, é alvo recorrente de campanhas que combinam [[t1029-scheduled-transfer|T1029]] com [[t1041-exfiltration-over-c2-channel|T1041]], onde dados de transações e credenciais de clientes são exfiltrados em pequenos lotes noturnos ao longo de semanas antes de qualquer ação detectável ocorrer. A LGPD e as normas do BACEN exigem controles e logging que, se implementados corretamente, fornecem a telemetria necessária para detectar esse padrão - mas a capacidade de análise comportamental ainda é limitada na maioria das organizações da região. ## Referências - [[g0126-higaisa|Higaisa]] - [[s0283-jrat|jRAT]] - [[s0696-flagpro|Flagpro]] - [[s0395-lightneuron|LightNeuron]] - [[s0223-powerstats|POWERSTATS]] - [[s0126-comrat|ComRAT]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1048-exfiltration-over-alternative-protocol|T1048 - Exfiltration Over Alternative Protocol]] - [[m1031-network-intrusion-prevention|M1031 - Network Intrusion Prevention]] *Fonte: MITRE ATT&CK - T1029*