# T1048.003 - Exfiltration Over Unencrypted Non-C2 Protocol ## Técnica Pai Esta é uma sub-técnica de [[t1048-exfiltration-over-alternative-protocol|T1048 - T1048 - Exfiltration Over Alternative Protocol]]. ## Descrição Adversários frequentemente exfiltram dados roubados utilizando protocolos de rede não cifrados - como HTTP, FTP, DNS ou SMTP - que são distintos do canal de comando e controle (C2) já estabelecido. A separação entre o canal C2 e o canal de exfiltração dificulta a correlação de incidentes: analistas que identificam o C2 podem não perceber que a exfiltração já ocorreu por um protocolo diferente, geralmente considerado "tráfego legítimo" pelo ambiente monitorado. O uso de protocolos não cifrados pode parecer contraintuitivo do ponto de vista do atacante, mas oferece vantagens táticas reais. Tráfego HTTP em porta 80, FTP em porta 21 ou consultas DNS são frequentemente liberados em firewalls corporativos sem inspeção profunda, especialmente em organizações com menor maturidade de segurança. Além disso, adversários podem obfuscar os dados sem criptografia - usando codificação Base64, compressão ou fragmentação em campos de protocolo (como subdomínios DNS ou cabeçalhos HTTP) - tornando o conteúdo ilegível mesmo que o tráfego sejá capturado, sem despertar os alertas que tráfego TLS inesperado poderia gerar em ambientes com inspeção SSL. Grupos como [[g0032-lazarus-group|Lazarus Group]] e [[g0049-oilrig|OilRig]] foram documentados usando DNS tunneling e HTTP não cifrado para exfiltrar grandes volumes de dados de ambientes comprometidos. A escolha do protocolo também reflete o perfil do alvo: em ambientes industriais (ICS/SCADA) e redes de dispositivos de rede, protocolos legados não cifrados são comuns e o tráfego de exfiltração se mistura organicamente ao tráfego operacional. [[g1045-salt-typhoon|Salt Typhoon]], grupo associado a espionagem de telecomúnicações, explorou exatamente esse padrão em operações contra operadoras de telecomúnicações, exfiltrando metadados de chamadas via protocolos de gestão de rede sem criptografia. **Contexto Brasil/LATAM:** O Brasil concentra um dos maiores volumes de ataques a sistemas financeiros da América Latina, e a exfiltração via protocolos não cifrados é um padrão recorrente em campanhas que visam roubo de dados bancários, PII de clientes e propriedade intelectual de empresas de tecnologia. Campanhas documentadas contra bancos brasileiros utilizaram FTP e HTTP simples para exfiltrar dumps de banco de dados com dados de cartão, aproveitando a ausência de DLP nesses canais. A LGPD (Lei Geral de Proteção de Dados) impõe notificação obrigatória em caso de vazamento, tornando a detecção precoce de exfiltração uma prioridade regulatória para organizações brasileiras - especialmente no setor financeiro supervisionado pelo Banco Central e pela [[_sectors|indústria regulada]]. ## Attack Flow ```mermaid graph TB A([Acesso Inicial<br/>e Movimento Lateral]) --> B([Coleta e<br/>Stagging de Dados]) B --> C([Codificação /<br/>Obfuscação]) C --> D([Exfiltração via<br/>Protocolo Não Cifrado]):::highlight D --> E([Dados no<br/>Servidor do Atacante]) classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona **Preparação** Após obter acesso e realizar reconhecimento interno, o adversário coleta e agrega os dados de interesse em um diretório de staging - frequentemente em `%TEMP%`, `/tmp` ou pastas de sistema pouco monitoradas. Os dados são comprimidos (ZIP, RAR, TAR.GZ) e, opcionalmente, codificados em Base64 ou divididos em chunks menores para fragmentar a transferência e evitar gatilhos de volume em soluções de DLP. O destino da exfiltração é um servidor controlado pelo atacante que aceita o protocolo escolhido (servidor FTP anônimo, endpoint HTTP simples, resolvedor DNS controlado). **Execução** A transferência ocorre via protocolos nativos do ambiente: `curl` ou `wget` para HTTP, cliente FTP nativo do sistema operacional, `nslookup`/`dig` com domínios de DNS tunneling, ou `sendmail`/`msmtp` para SMTP. Em ambientes Windows, [[g0102-conti-group|Wizard Spider]] foi documentado usando PowerShell com `Invoke-WebRequest` para enviar arquivos via HTTP POST. Grupos como [[g0061-fin8|FIN8]] utilizaram FTP interativo via `cmd.exe` para transferir arquivos de POS comprometidos. O volume é frequentemente calibrado para se manter abaixo de limiares de alerta de DLP - transferências lentas e contínuas ao longo de horas ou dias. **Pós-execução** Após a confirmação da transferência, o adversário remove os arquivos de staging e pode limpar logs de transferência para dificultar a determinação do escopo do vazamento. Em alguns casos, a exfiltração é executada durante horários de baixa atividade (madrugada, fins de semana) para reduzir a probabilidade de detecção em tempo real. A correlação entre o volume de dados transmitidos e os logs de acesso a sistemas internos é a principal fonte de evidência para quantificar o dano durante a [[_playbooks|resposta ao incidente]]. ## Detecção **Event IDs e fontes relevantes:** | Evento / Fonte | Sinal | |----------------|-------| | Sysmon Event 3 (NetworkConnect) | Conexões de saída em portas 21 (FTP), 25 (SMTP), 53 (DNS) de processos inesperados (ex.: `cmd.exe`, `powershell.exe`, `python.exe`) | | Sysmon Event 11 (FileCreaté) | Criação de arquivos comprimidos (`.zip`, `.rar`, `.tar.gz`) em diretórios de staging seguida de atividade de rede | | NetFlow / IPFIX | Volumes anômalos de upload para IPs externos via protocolos não cifrados; baseline de comportamento de rede por usuário/host | | DNS Query Logs | Consultas DNS de alta frequência para subdomínios aleatórios do mesmo domínio pai - padrão de DNS tunneling | | Proxy Logs (HTTP) | POSTs HTTP de grande volume para IPs/domínios de baixa reputação; ausência de Referer header típico de browser | | IDS/IPS Signatures | Regras para FTP anônimo de saída, Base64 em DNS TXT records, payloads Base64 em corpo de requisições HTTP não-HTTPS | **Sigma Rule - Large HTTP POST Exfiltration (Non-C2 Pattern):** ```yaml title: Potential Data Exfiltration via Unencrypted HTTP POST id: f2e7b3a4-5c1d-4e08-9b7f-3a6c2d1e8f52 status: experimental description: > Detecta uploads HTTP POST de grande volume para destinos externos em porta 80 originados de processos que não são browsers - padrão consistente com exfiltração via protocolo não cifrado (T1048.003). author: RunkIntel daté: 2026-03-24 tags: - attack.exfiltration - attack.t1048.003 logsource: product: windows category: network_connection detection: selection: Initiated: 'true' DestinationPort: 80 Protocol: 'tcp' filter_browsers: Image|endswith: - '\chrome.exe' - '\firefox.exe' - '\msedge.exe' - '\iexplore.exe' - '\brave.exe' filter_internal: DestinationIp|startswith: - '10.' - '172.16.' - '192.168.' condition: selection and not filter_browsers and not filter_internal falsepositives: - Agentes de monitoramento e gestão (SCCM, Zabbix, Nagios) - Aplicações corporativas legadas sem suporte a TLS level: medium --- title: DNS Tunneling Pattern - High Frequency Subdomain Queries id: a9c4f1b8-2e7d-4a05-8c3f-6b9e1d7c2a48 status: experimental description: > Detecta padrão de DNS tunneling - alta frequência de consultas para subdomínios únicos do mesmo domínio pai, típico de exfiltração via DNS (T1048.003). author: RunkIntel daté: 2026-03-24 tags: - attack.exfiltration - attack.t1048.003 logsource: product: dns detection: selection: QueryType: 'A' aggregaté: GroupBy: ParentDomain Count: '>50' Timeframe: '5m' condition: selection | aggregaté falsepositives: - CDNs com alto número de subdomínios (Cloudflare, Akamai) - filtrar por domínios conhecidos level: high ``` ## Mitigação | Controle | Ação Recomendada | Prioridade para Orgs BR | |----------|-----------------|------------------------| | [[m1031-network-intrusion-prevention\|M1031 - Network Intrusion Prevention]] | Implantar IPS com assinaturas para FTP anônimo de saída, DNS tunneling e uploads HTTP de grande volume; correlacionar com inventário de aplicações legítimas | Alta | | [[m1057-data-loss-prevention\|M1057 - Data Loss Prevention]] | Configurar DLP para inspecionar HTTP, FTP e SMTP de saída; classificar e bloquear transferências de dados sensíveis (CPF, dados bancários, PII) em conformidade com LGPD | Alta | | [[m1037-filter-network-traffic\|M1037 - Filter Network Traffic]] | Bloquear FTP de saída (porta 21) e SMTP direto (porta 25) para todos os hosts exceto servidores de propósito específico; forçar proxying de todo HTTP via proxy corporativo com inspeção | Alta | | [[m1030-network-segmentation\|M1030 - Network Segmentation]] | Segmentar redes de servidores críticos e estações de trabalho; bloquear saída direta à Internet de servidores internos - todo tráfego externo deve passar por proxies e gateways inspecionados | Alta | | Monitoramento de DNS | Implementar logging de todas as consultas DNS internas; alertar para padrões de tunneling (alta frequência de subdomínios aleatórios); bloquear DNS direto externo e forçar uso de resolvedores internos | Alta | | Baseline de tráfego de rede | Estabelecer linha de base de volumes de upload por host/usuário; alertar para desvios estatísticos (ex.: >3σ acima da média); especialmente crítico para hosts com acesso a dados sensíveis | Média | ## Threat Actors que Usam - [[g0032-lazarus-group|Lazarus Group]] - grupo norte-coreano de alta sofisticação que utilizou HTTP não cifrado e FTP para exfiltrar dados de instituições financeiras e exchanges de criptomoedas, incluindo operações com impacto na América Latina. - [[g0061-fin8|FIN8]] - grupo financeiramente motivado especializado em ataques a sistemas de POS; utilizou FTP para exfiltrar dados de cartão de crédito de redes de varejo e hospitalidade. - [[g0076-thrip|Thrip]] - APT com foco em telecomúnicações e satelites que empregou FTP e outros protocolos não cifrados para exfiltrar dados de operadoras de telecom. - [[g0050-apt32|APT32]] - grupo vietnamita de espionagem que utilizou HTTP não cifrado com dados codificados em Base64 em campanhas contra alvos governamentais e corporativos no Sudeste Asiático e América Latina. - [[g1045-salt-typhoon|Salt Typhoon]] - APT chinês focado em espionagem de telecomúnicações; exfiltrou metadados de chamadas via protocolos de gestão de rede sem criptografia em operações contra grandes operadoras globais. - [[g0129-mustang-panda|Mustang Panda]] - grupo chinês que utilizou FTP e HTTP para exfiltrar documentos governamentais em campanhas de espionagem contra países do Sudeste Asiático e Europa. - [[g1052-contagious-interview|Contagious Interview]] - campanha norte-coreana de engenharia social que utilizou protocolos não cifrados para exfiltrar credenciais e dados de desenvolvedores de software. - [[g0102-conti-group|Wizard Spider]] - operador de ransomware que exfiltra dados sensíveis via HTTP antes de cifrar sistemas, usando o vazamento como alavanca de dupla extorsão; ativo em campanhas que afetam empresas brasileiras. - [[g0049-oilrig|OilRig]] - APT iraniano que utilizou DNS tunneling e HTTP não cifrado extensivamente para exfiltração furtiva em campanhas de espionagem contra governo e energia no Oriente Médio e LATAM. - [[g0064-apt33|APT33]] - grupo iraniano focado em espionagem industrial e sabotagem; utilizou protocolos não cifrados para exfiltrar dados de empresas de petróleo e energia, incluindo alvos com operações no Brasil. ## Software Associado - [[s0125-remsec|Remsec]] - malware de espionagem modular que inclui componente de exfiltração via protocolos de rede não cifrados, com capacidade de tunneling em tráfego HTTP legítimo. - [[cookieminer|CookieMiner]] - malware macOS que exfiltra cookies de browser e dados de carteira de criptomoedas via conexões não cifradas. - [[s1043-ccf32|ccf32]] - ferramenta de exfiltração de dados de cartão de crédito que utiliza FTP e HTTP simples para transferência dos dados coletados em sistemas de POS. - [[s1116-warpwire|WARPWIRE]] - malware de roubo de credenciais que exfiltra dados via protocolos não cifrados para infraestrutura controlada pelo atacante. - [[konni|KONNI]] - RAT norte-coreano que utiliza HTTP não cifrado com campos customizados para exfiltração de arquivos e screenshots. - [[s0252-brave-prince|Brave Prince]] - malware coreano que exfiltra dados do sistema via FTP para servidores remotos controlados pelos operadores. - [[s0674-charmpower|CharmPower]] - módulo de pós-exploração que utiliza consultas DNS e HTTP para exfiltrar dados de sistemas comprometidos em campanhas iranianas. - [[s0050-cosmicduke|CosmicDuke]] - implante de espionagem russo que exfiltra credenciais e documentos via FTP e protocolos de rede customizados não cifrados. - [[s0212-coraldeck|CORALDECK]] - ferramenta de exfiltração que empacota e transfere dados via HTTP não cifrado em campanhas de espionagem norte-coreanas. - [[s0331-agent-tesla|Agent Tesla]] - infostealer amplamente distribuído que exfiltra credenciais, keystrokes e screenshots via SMTP, FTP e HTTP simples - um dos malwares mais detectados no Brasil segundo relatórios de ameaças regionais. --- *Fonte: [MITRE ATT&CK - T1048.003](https://attack.mitre.org/techniques/T1048/003)*