t1030-data-transfer-size-limits

# T1030 - Data Transfer Size Limits ## Descrição Adversários podem exfiltrar dados dividindo-os em fragmentos de tamanho fixo em vez de transferir arquivos completos de uma só vez, ou ainda limitar o tamanho dos pacotes de rede abaixo de limiares que disparariam alertas automáticos de segurança. Essa técnica é frequentemente combinada com outras táticas de exfiltração para reduzir a visibilidade das transferências maliciosas em sistemas de detecção e prevenção de intrusão (IDS/IPS). A lógica central é simples: muitas soluções de segurança monitoram volumes de transferência de dados por sessão ou por jánela de tempo. Ao fragmentar a exfiltração em pedaços menores - denominados "chunks" - o adversário distribui a carga ao longo do tempo e mantém cada transferência individual abaixo dos limiares configurados para geração de alertas. Em ambientes com alta movimentação de dados legítimos, essa técnica é especialmente eficaz, pois os fragmentos se fundem com o ruído de fundo do tráfego normal. Esta técnica é um habilitador tático para outras técnicas de exfiltração, como [[t1048-exfiltration-over-alternative-protocol|T1048 - Exfiltration Over Alternative Protocol]] e [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]]. Grupos de ameaça persistente avançada como [[g0007-apt28|APT28]] e [[g0096-apt41|APT41]] combinam T1030 com canais C2 estabelecidos para garantir que o volume de dados exfiltrados passe despercebido por meses ou até anos em campanhas de espionagem de longa duração. ## Como Funciona O adversário que opta por aplicar limites de tamanho de transferência tipicamente implementa a técnica de uma das seguintes formas: **Chunking por tamanho fixo:** os dados coletados são divididos em blocos de tamanho predefinido (por exemplo, 1 MB, 5 MB ou 10 MB por sessão de transferência). Cada bloco é enviado em uma conexão separada, com intervalos de tempo entre as transferências para simular comportamento humano. Ferramentas como [[s0154-cobalt-strike|Cobalt Strike]] e [[s0699-mythic|Mythic]] possuem suporte nativo a essa configuração via parâmetros de staging e sleep. **Throttling de banda:** em vez de dividir por chunks, o adversário limita a taxa de transferência para um valor baixo o suficiente para evitar picos de largura de banda que disparariam alertas de NDR (Network Detection and Response). Malwares como [[s1200-stealbit|StealBit]] - usado pelo grupo [[g1040-play|Play]] e afiliados do LockBit - implementam throttling configurável como parâmetro de linha de comando. **Fragmentação temporal:** a exfiltração é distribuída ao longo de horas, dias ou semanas. Grupos APT em campanhas de espionagem frequentemente exfiltram dados apenas durante horários comerciais normais para mascarar o tráfego malicioso como atividade legítima de usuários. [[g0096-apt41|APT41]] é documentado utilizando esse padrão em campanhas contra o setor de [[_sectors|saúde]] e [[_sectors|telecomúnicações]]. **Pacotes subdimensionados:** o adversário configura o tamanho máximo de segmento (MSS) das conexões TCP para valores abaixo do padrão (1460 bytes em Ethernet), tornando cada pacote individualmente pequeno e evitando inspeções de conteúdo que dependem de buffers maiores para funcionar corretamente. ## Attack Flow ```mermaid graph TB A[Acesso estabelecido e dados coletados] --> B[Definição do limite de tamanho por chunk] B --> C[Divisão dos dados em fragmentos menores] C --> D[Configuração de intervalo entre transferências] D --> E[Envio sequencial dos chunks via canal exfiltração] E --> F[Reagrupamento dos dados no servidor do adversário] F --> G[Verificação de integridade e remoção de artefatos] ``` ## Exemplos de Uso **APT28 (Fancy Bear)** - o grupo russo vinculado ao GRU utilizou transferências fragmentadas em campanhas contra entidades governamentais e militares europeias, distribuindo os dados ao longo de semanas para evitar alertas volumétricos em ferramentas de DLP e NDR. A exfiltração era realizada via [[t1048-002-exfiltration-over-asymmetric-encrypted-non-c2-protocol|HTTPS cifrado]] com chunks configurados abaixo de 5 MB por sessão. **APT41** - grupo chinês com dupla motivação (espionagem estatal e crime financeiro) documentado fragmentando exfiltração de código-fonte e propriedade intelectual de empresas de tecnologia em múltiplas sessões de poucos megabytes ao longo de períodos de semanas. **LuminousMoth** - grupo APT com nexo à China, observado exfiltrando dados de alvos no Sudeste Asiático utilizando fragmentação combinada com tunneling DNS, onde cada chunk era codificado e dividido em múltiplas queries DNS para contornar limites de tamanho de resposta DNS. **Threat Group-3390** - também conhecido como APT27 ou Emissary Panda, o grupo utilizou chunking de dados em campanhas de espionagem contra o setor de defesa, distribuindo a exfiltração ao longo de horários de baixo monitoramento para reduzir a probabilidade de detecção. **Play Ransomware** - o grupo abusa do [[s1200-stealbit|StealBit]] com throttling de transferência configurado para permanecer abaixo de limiares de DLP durante a fase de exfiltração dupla antes da criptografia dos sistemas das vítimas. Diversas vítimas brasileiras do grupo Play tiveram dados exfiltrados sem acionar alertas volumétricos por esse motivo. **Software associado com suporte a T1030:** - [[s1200-stealbit|StealBit]] - throttling nativo configurável - [[s0154-cobalt-strike|Cobalt Strike]] - configuração de sleep e chunk size via Malleable C2 profiles - [[s0699-mythic|Mythic]] - framework C2 com staging configurável - [[s0264-oopsie|OopsIE]], [[s0150-poshspy|POSHSPY]], [[s0644-obliquerat|ObliqueRAT]], [[s0622-appleseed|AppleSeed]] - todos documentados com exfiltração segmentada - [[s0495-rdat|RDAT]] - exfiltração via DNS com fragmentação obrigatória (limite de 255 bytes por label DNS) ## Detecção ```yaml title: Exfiltração Fragmentada com Limites de Tamanho de Transferência status: experimental logsource: category: network_connection product: windows detection: selection_repeated_small_uploads: dst_port: - 443 - 80 - 53 - 22 bytes_sent|gt: 100000 bytes_sent|lt: 5000000 filter_internal: dst_ip|cidr: - 10.0.0.0/8 - 172.16.0.0/12 - 192.168.0.0/16 timeframe: 1h condition: selection_repeated_small_uploads and not filter_internal | count() by src_ip, dst_ip > 10 falsepositives: - Aplicações de backup incremental legítimas - Agentes de monitoramento enviando métricas periodicamente - Softwares de colaboração com sync automático de arquivos level: medium ``` **Indicadores comportamentais adicionais:** - Sequências de conexões a um mesmo destino externo em intervalos regulares e com volumes similares ao longo de horas - Processos não relacionados a backup ou sync iniciando múltiplas conexões de upload em curtos intervalos - Acesso a arquivos volumosos (dumps, arquivos comprimidos, bases de dados) seguido imediatamente por múltiplas conexões de saída pequenas - Uso de ferramentas de linha de comando como `curl`, `wget`, `scp` ou `rclone` em horários incomuns com flags de raté-limiting ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1031 | [[m1031-network-intrusion-prevention\|M1031 - Network Intrusion Prevention]] | Implementar soluções NDR/NTA capazes de correlacionar múltiplas transferências de pequeno volume ao longo do tempo e detectar padrões de beaconing e chunking, não apenas alertas por threshold absoluto por sessão | **Controles complementares recomendados:** - Implementar DLP com correlação temporal: além de volumes por sessão, monitorar volume acumulado por destino em jánelas de 1h, 6h e 24h - Configurar alertas para comportamento de "upload repetitivo periódico" a destinos externos não categorizados - Aplicar inspeção TLS inline para ter visibilidade do conteúdo das transferências, não apenas dos metadados de rede - Utilizar soluções de UEBA (User and Entity Behavior Analytics) para detectar desvios de padrão de transferência de dados por usuário ou por sistema ## Contexto Brasil/LATAM A técnica de limitação de tamanho de transferência é amplamente utilizada por grupos de ransomware com alvos no Brasil, onde a capacidade de detecção de exfiltração baseada em volume ainda é limitada em muitas organizações de médio porte. Grupos como [[g1040-play|Play]] e afiliados de [[lockbit|LockBit]] documentaram exfiltração de dados de empresas brasileiras dos setores [[_sectors|financeiro]], [[_sectors|saúde]] e industrial sem disparar alertas volumétricos - viabilizada exatamente pelo padrão de chunking com throttling. O [[sources|CERT.br]] documentou padrões similares em campanhas de trojans bancários direcionados ao Brasil, onde o malware exfiltra credenciais e dados de formulários em pequenos pacotes cifrados distribuídos ao longo de sessões de navegação legítimas, tornando a separação do tráfego malicioso do benigno extremamente desafiadora sem correlação comportamental de longo prazo. A baixa adoção de soluções NDR com análise de comportamento de rede longitudinal no mercado brasileiro - em favor de firewalls de próxima geração com alertas por threshold absoluto - cria uma lacuna de visibilidade que essa técnica explora diretamente. ## Referências - [[t1048-exfiltration-over-alternative-protocol|T1048 - Exfiltration Over Alternative Protocol]] - [[t1048-002-exfiltration-over-asymmetric-encrypted-non-c2-protocol|T1048.002 - Exfiltration Over Asymmetric Encrypted Non-C2 Protocol]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1074-data-staged|T1074 - Data Staged]] - [[m1031-network-intrusion-prevention|M1031 - Network Intrusion Prevention]] - [[g0007-apt28|APT28]] - [[g0096-apt41|APT41]] - [[s0154-cobalt-strike|Cobalt Strike]] - [[s1200-stealbit|StealBit]] *Fonte: MITRE ATT&CK - T1030*