t1048-002-exfiltration-over-asymmetric-encrypted-non-c2-protocol

# T1048.002 - Exfiltration Over Asymmetric Encrypted Non-C2 Protocol ## Técnica Pai Esta é uma sub-técnica de [[t1048-exfiltration-over-alternative-protocol|T1048 - Exfiltration Over Alternative Protocol]]. ## Descrição Adversários podem exfiltrar dados utilizando protocolos de rede com criptografia assimétrica que são distintos do canal de comando e controle ([[t1071-application-layer-protocol|C2]]) já estabelecido. O dado exfiltrado pode ainda ser enviado a um servidor completamente diferente do servidor C2 principal, dificultando a correlação de eventos por analistas de segurança. A criptografia assimétrica, também conhecida como criptografia de chave pública, utiliza um par de chaves matematicamente relacionadas: uma chave pública, que pode ser amplamente distribuída, e uma chave privada, mantida em segredo pelo receptor. Protocolos como HTTPS/TLS e SSH fazem uso desse modelo na fase de handshake antes de estabelecer uma sessão simétrica para a transferência de dados. É justamente essa camada criptográfica que torna a inspeção do conteúdo trafegado extremamente difícil sem a realização de inspeção SSL profunda (SSL/TLS inspection). A eficácia desta técnica reside no fato de que o tráfego HTTPS, SFTP ou qualquer outro protocolo com criptografia assimétrica é amplamente considerado legítimo em ambientes corporativos. Firewalls convencionais permitem esse tráfego sem inspecioná-lo, e soluções de monitoramento de rede sem descriptografia TLS são completamente cegas ao conteúdo das transferências. Grupos como [[g0007-apt28|APT28]] e [[g1012-curium|CURIUM]] exploram exatamente essa lacuna de visibilidade para exfiltrar dados de forma silenciosa e duradoura. ## Como Funciona O adversário, após estabelecer acesso à rede alvo e concluir a fase de [[t1074-data-staged|coleta e staging de dados]], seleciona um protocolo com suporte nativo a criptografia assimétrica que já sejá permitido pelas políticas de firewall do ambiente. Os protocolos mais frequentemente abusados incluem HTTPS (porta 443), SFTP (porta 22), WebDAV sobre TLS e DNS sobre HTTPS (DoH). Ferramentas como [[s1040-rclone|Rclone]] são amplamente utilizadas nesse contexto: elas sincronizam diretórios inteiros com provedores de armazenamento em nuvem (Google Drive, OneDrive, Dropbox, Mega) usando HTTPS, tornando a exfiltração práticamente indistinguível de uso legítimo de nuvem corporativa. O adversário pode ainda fragmentar os dados em chunks menores (combinando com [[t1030-data-transfer-size-limits|T1030 - Data Transfer Size Limits]]) e distribuí-los ao longo do tempo para reduzir picos de volume suspeitos. Em ambientes air-gapped ou com restrições severas de saída de rede, o adversário pode configurar um relay intermediário - um servidor comprometido em uma zona menos monitorada que recebe os dados e os repassa ao destino final via HTTPS. Esse padrão é especialmente comum em campanhas de espionagem de longa duração atribuídas a grupos de estado-nação. ## Attack Flow ```mermaid graph TB A[Acesso inicial estabelecido] --> B[Enumeração e coleta de dados sensíveis] B --> C[Staging: compressão e cifragem local dos arquivos] C --> D[Seleção de protocolo assimétrico permitido - HTTPS / SFTP] D --> E[Transferência cifrada para servidor externo ou nuvem] E --> F[Dados no servidor do adversário] F --> G[Remoção de artefatos e limpeza de logs] ``` ## Exemplos de Uso **APT28 (Fancy Bear)** - o grupo russo vinculado ao GRU fez uso extensivo de exfiltração via HTTPS para servidores de staging na Europa e América do Norte durante campanhas de espionagem contra governos e organizações militares da OTAN. O grupo combina essa técnica com [[t1036-masquerading|mascaramento de processo]] para simular tráfego de navegadores legítimos. **CURIUM** - grupo de ameaça persistente avançada com nexo ao Irã, identificado pelo uso de HTTPS para exfiltração em campanhas contra o setor de tecnologia no Oriente Médio. A infraestrutura de exfiltração do CURIUM frequentemente utiliza domínios registrados com certificados TLS válidos para aumentar a legitimidade aparente do tráfego. **Storm-1811** - cluster de atividade associado a operações de ransomware, observado utilizando ferramentas de sincronização de nuvem cifradas para exfiltrar dados de vítimas antes da criptografia dos sistemas - técnica conhecida como dupla extorsão. O grupo abusa de serviços legítimos como OneDrive e SharePoint, cujo tráfego raramente é bloqueado em ambientes corporativos. **IcedID** - o malware [[s0483-icedid|IcedID]] (também chamado BokBot) utiliza HTTPS com certificados auto-assinados ou emitidos por CAs conhecidas para comunicação C2 e exfiltração de credenciais bancárias e dados corporativos. ## Detecção ```yaml title: Exfiltração via Protocolo Criptografado Não-C2 Assimétrico status: experimental logsource: category: network_connection product: windows detection: selection_large_upload: dst_port: - 443 - 22 - 990 bytes_sent|gt: 10000000 filter_known_good: dst_ip|cidr: - 10.0.0.0/8 - 172.16.0.0/12 - 192.168.0.0/16 condition: selection_large_upload and not filter_known_good falsepositives: - Backups legítimos para serviços de nuvem corporativa - Atualizações de software volumosas - Transferências autorizadas para parceiros via SFTP level: medium ``` **Indicadores comportamentais adicionais:** - Conexões HTTPS de longa duração a destinos nunca vistos anteriormente no ambiente - Uso de ferramentas como `rclone`, `curl` ou `wget` com destinos de nuvem pública a partir de servidores que normalmente não acessam a internet - Alto volume de upload para provedores de nuvem (OneDrive, Dropbox, Mega) fora do horário comercial - Certificados TLS recém-emitidos (menos de 30 dias) em destinos com alto volume de upload - Processos filhos inesperados de aplicações legítimas realizando conexões de saída cifradas ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1031 | [[m1031-network-intrusion-prevention\|M1031 - Network Intrusion Prevention]] | Implementar IPS com inspeção SSL/TLS para analisar o conteúdo de conexões HTTPS e detectar padrões anômalos de transferência de dados | | M1030 | [[m1030-network-segmentation\|M1030 - Network Segmentation]] | Segmentar a rede para limitar quais sistemas têm acesso de saída à internet, especialmente estações e servidores com dados sensíveis | | M1037 | [[m1037-filter-network-traffic\|M1037 - Filter Network Traffic]] | Aplicar política de allowlist para destinos de internet permitidos; bloquear ou alertar para uploads a provedores de nuvem não aprovados corporativamente | | M1057 | [[m1057-data-loss-prevention\|M1057 - Data Loss Prevention]] | Implementar DLP com capacidade de inspecionar tráfego cifrado (requer inspeção TLS inline) e detectar transferências de dados sensíveis classificados | ## Contexto Brasil/LATAM No Brasil e na América Latina, a técnica de exfiltração via protocolos criptografados assimétricos é particularmente prevalente em campanhas direcionadas ao setor [[_sectors|financeiro]] e ao [[_sectors|governo]]. A adoção massiva de serviços de nuvem pública (Microsoft 365, Google Workspace) por empresas brasileiras cria um ambiente em que o tráfego HTTPS de saída em alto volume é a norma, dificultando a detecção de exfiltração maliciosa. Grupos de cibercrime financeiro com operação no Brasil - frequentemente vinculados a clusters identificados pelo [[sources|CERT.br]] - utilizam HTTPS para exfiltrar dados bancários de sistemas infectados com trojans bancários, aproveitando-se da ausência de inspeção TLS em muitos ambientes de médio porte. O padrão é idêntico ao documentado internacionalmente: uso de domínios de curta duração com certificados TLS válidos (obtidos gratuitamente via Let's Encrypt) para receber os dados exfiltrados. Operações de ransomware com impacto documentado no Brasil, como as atribuídas a grupos ligados ao ecossistema [[lockbit|LockBit]] e [[g1040-play|Play]], invariavelmente incluem uma fase de exfiltração via HTTPS antes da criptografia dos dados - garantindo a capacidade de dupla extorsão mesmo que a vítima consiga recuperar os dados de backups. ## Referências - [[t1048-exfiltration-over-alternative-protocol|T1048 - Exfiltration Over Alternative Protocol]] - [[t1030-data-transfer-size-limits|T1030 - Data Transfer Size Limits]] - [[t1074-data-staged|T1074 - Data Staged]] - [[t1071-application-layer-protocol|T1071 - Application Layer Protocol]] - [[t1036-masquerading|T1036 - Masquerading]] - [[m1057-data-loss-prevention|M1057 - Data Loss Prevention]] - [[g0007-apt28|APT28]] - [[s1040-rclone|Rclone]] - [[s0483-icedid|IcedID]] *Fonte: MITRE ATT&CK - T1048.002*