t1048-001-exfiltration-over-symmetric-encrypted-non-c2-protocol

# T1048.001 - Exfiltration Over Symmetric Encrypted Non-C2 Protocol ## Técnica Pai Subtécnica de [[t1048-exfiltration-over-alternative-protocol|T1048 - Exfiltration Over Alternative Protocol]]. Enquanto a técnica pai abrange qualquer protocolo alternativo ao canal C2 estabelecido, esta subtécnica específica o uso de **criptografia simétrica** aplicada manualmente sobre o canal de transporte - independentemente de o protocolo subjacente já possuir criptografia nativa. --- ## Descrição Adversários exfiltram dados utilizando criptografia simétrica sobre protocolos de rede que são distintos do canal de comando e controle em uso. A lógica central é separar o fluxo de exfiltração do fluxo C2, dificultando a correlação por ferramentas de detecção que monitoram padrões associados ao C2 conhecido. Na criptografia simétrica, a mesma chave é usada para cifrar e decifrar os dados - diferentemente da criptografia assimétrica, que utiliza um par de chaves público/privado. Isso significa que a chave precisa ser combinada previamente entre o adversário e o malware, geralmente embutida no código, derivada de um algoritmo determinístico ou entregue por um canal secundário. Algoritmos frequentemente empregados incluem AES (128 ou 256 bits), RC4 e ChaCha20. O resultado prático é que os dados exfiltrados chegam ao servidor do adversário cifrados de maneira que sensores de rede - mesmo com inspeção profunda de pacotes (DPI) - não conseguem recuperar o conteúdo em texto claro sem a chave. Além disso, o adversário pode aplicar essa criptografia sobre protocolos normalmente não criptografados (como HTTP, DNS ou FTP) ou adicionar uma camada extra sobre protocolos já criptografados (como HTTPS), tornando a análise de comportamento ainda mais complexa. ## Como Funciona O fluxo técnico envolve quatro etapas principais: 1. **Coleta e staging:** o malware reúne os arquivos de interesse no sistema comprometido, frequentemente comprimindo-os para reduzir volume e tempo de transmissão. 2. **Cifragem com chave simétrica:** os dados são cifrados usando AES, RC4 ou algoritmo equivalente com uma chave pré-acordada ou derivada algoritmicamente. Essa operação ocorre inteiramente na memória ou em um arquivo temporário no disco do sistema comprometido. 3. **Escolha do protocolo de transporte:** o adversário usa um protocolo diferente do C2 ativo - por exemplo, se o C2 opera via HTTPS na porta 443, a exfiltração pode usar FTPS na porta 990, SFTP na 22, ou até HTTP customizado na porta 8080. Essa separação dificulta a correlação de tráfego. 4. **Transmissão e recepção:** os dados cifrados são enviados ao servidor controlado pelo adversário, que os decifra localmente. O servidor receptor muitas vezes está hospedado em infraestrutura legítima comprometida (VPS, provedores de cloud) para dificultar o bloqueio por reputação de IP. Variações avançadas incluem o uso de protocolos com tunelamento implícito (como DNS over HTTPS) com os dados cifrados adicionalmente em cima, criando múltiplas camadas de ofuscação. ## Attack Flow ```mermaid graph TB A[Sistema comprometido com dados de interesse] --> B[Coleta e compressão dos arquivos alvo] B --> C[Geração ou recuperação da chave simétrica AES/RC4/ChaCha20] C --> D[Cifragem local dos dados coletados] D --> E{Protocolo de exfiltração} E -->|HTTP/HTTPS extra-layer| F[Payload cifrado sobre protocolo web] E -->|FTP/FTPS| G[Upload para servidor FTP do adversário] E -->|DNS/DoH| H[Dados embutidos em consultas DNS cifradas] F --> I[Servidor C2 alternativo do adversário] G --> I H --> I I --> J[Decifragem local com a chave simétrica] J --> K[Dados exfiltrados com sucesso] ``` ## Exemplos de Uso **APT29 (Cozy Bear):** relatórios da Mandiant e do NCSC britânico documentam que operadores do APT29 utilizaram camadas adicionais de criptografia AES sobre tráfego HTTPS para exfiltrar dados de organizações governamentais e de defesa, tornando o conteúdo irrecuperável mesmo em ambientes com inspeção TLS. **FIN7:** o grupo de crime financeiro FIN7 adotou variações de exfiltração com criptografia RC4 sobre HTTP para extrair dados de cartões de crédito de ambientes de ponto de venda (POS), separando o canal de exfiltração do canal C2 baseado em Carbanak para escapar de correlação. **Grupos de ransomware com dupla extorsão:** operadores como ALPHV/BlackCat e LockBit documentadamente empregam criptografia simétrica customizada sobre protocolos alternativos durante a fase de exfiltração que precede a cifragem dos arquivos da vítima, garantindo que os dados estejam fora do alcance mesmo que a vítima restabeleça os sistemas antes de pagar o resgate. **Operações de espionagem contra ESXi (relevante para LATAM):** com a inclusão de ESXi como plataforma suportada no MITRE ATT&CK para T1048.001, grupos que atacam infraestrutura de virtualização - como ocorreu em campanhas contra provedores de cloud na América Latina - utilizam esse vetor para exfiltrar snapshots de máquinas virtuais e backups. ## Detecção ```yaml title: Exfiltração com criptografia simétrica sobre protocolo não-C2 status: experimental logsource: category: network_connection product: windows detection: selection_unusual_port: Initiated: "true" DestinationPort: - 21 - 990 - 2121 - 8080 - 8443 - 9000 Image|endswith: - "\\cmd.exe" - "\\powershell.exe" - "\\python.exe" - "\\curl.exe" filter_known_software: Image|startswith: - "C:\\Program Files\\Git\\" - "C:\\Program Files\\WinSCP\\" condition: selection_unusual_port and not filter_known_software level: medium ``` ```yaml title: Alto volume de dados enviados para destino externo fora do canal C2 status: experimental logsource: category: network_connection product: windows detection: selection: Initiated: "true" BytesSent|gt: 10000000 DestinationIsExternal: "true" filter_known_cloud: DestinationHostname|endswith: - ".sharepoint.com" - ".onedrive.com" - ".dropbox.com" condition: selection and not filter_known_cloud level: high ``` Indicadores comportamentais adicionais: - Processos gerando tráfego de saída em portas incomuns, especialmente se os mesmos processos não geraram esse padrão historicamente - Sequência de: leitura intensa de arquivos → operação de cifragem em memória → conexão de rede sainte em protocolo não habitual - Uso de ferramentas como `openssl enc`, `gpg --symmetric`, ou bibliotecas Python de criptografia invocadas por linha de comando - Certificados TLS apresentados por servidores de destino com emissão recente (< 7 dias) ou usando Let's Encrypt com domínios suspeitos ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | [[m1037-filter-network-traffic\|M1037]] | Filter Network Traffic | Implementar listas de permissão de destinos de rede (allowlist) e bloquear conexões de saída para portas e destinos não autorizados. Usar proxies de saída que inspecionem todos os protocolos - não apenas HTTP/HTTPS - e alertem sobre novos destinos externos. | | [[m1031-network-intrusion-prevention\|M1031]] | Network Intrusion Prevention | Implantar IPS/IDPS com assinaturas específicas para detectar padrões de exfiltração, incluindo alto volume de dados saindo por protocolos incomuns e uso de cifras simétricas identificáveis como RC4 em tráfego HTTP não criptografado. | | [[m1030-network-segmentation\|M1030]] | Network Segmentation | Segmentar a rede para que sistemas com dados sensíveis não tenham acesso direto à internet. Forçar todo tráfego de saída por proxies auditados, eliminando caminhos de exfiltração diretos que contornem os controles perimetrais. | ## Contexto Brasil/LATAM A América Latina é alvo crescente de grupos de ransomware e espionagem que empregam essa subtécnica como parte de operações de dupla extorsão - onde os dados são exfiltrados antes de criptografados. A separação entre o canal C2 e o canal de exfiltração é especialmente eficaz contra ambientes corporativos brasileiros que monitoram apenas tráfego HTTP/HTTPS ou bloqueiam apenas IPs de C2 conhecidos, deixando portas FTP, FTPS e canais customizados desprotegidos. No setor financeiro brasileiro, regulado pelo Banco Central e pela LGPD, incidentes envolvendo exfiltração de dados de clientes por esse vetor representam risco regulatório significativo além do dano operacional. O [[_sectors|setor de saúde]] - com crescimento de ataques documentados no Brasil - também figura como alvo recorrente, dado o alto valor de dados de prontuários no mercado clandestino. A interação com [[t1048-exfiltration-over-alternative-protocol|T1048]] e [[t1041-exfiltration-over-c2-channel|T1041]] é comum em campanhas avançadas que operam na região. ## Referências - [[t1048-exfiltration-over-alternative-protocol|T1048 - Exfiltration Over Alternative Protocol]] - [[m1037-filter-network-traffic|M1037 - Filter Network Traffic]] - [[m1031-network-intrusion-prevention|M1031 - Network Intrusion Prevention]] - [[m1030-network-segmentation|M1030 - Network Segmentation]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1573-encrypted-channel|T1573 - Encrypted Channel]] - [[_sectors|Setores Críticos - Financeiro e Saúde]] *Fonte: MITRE ATT&CK - T1048.001*