t1048-exfiltration-alternative-protocol

# T1048 - Exfiltration Over Alternative Protocol ## Descrição Adversários exfiltram dados utilizando **protocolos de rede alternativos** ao canal primário de Comando e Controle (C2), tornando a detecção significativamente mais difícil para defesas que focam exclusivamente no monitoramento de tráfego HTTP/HTTPS. Ao separar o canal de exfiltração do canal C2, o atacante reduz a probabilidade de que a detecção de um comprometa o outro. A técnica é especialmente eficaz quando os protocolos alternativos escolhidos são **legitimamente utilizados** na organização - DNS, SMTP, FTP, ICMP - tornando práticamente impossível distinguir tráfego malicioso do tráfego operacional sem análise de comportamento e conteúdo profundos. Muitas organizações monitoram HTTP/HTTPS de forma rigorosa mas ignoram protocolos como DNS ou ICMP como vetores de exfiltração. As três sub-técnicas cobrem o espectro de criptografia: **T1048.001** usa protocolos criptografados simétricos (SFTP, SCP, FTPS) sem relação com o C2; **T1048.002** usa protocolos criptografados assimétricos (HTTPS para endpoints não-C2); e **T1048.003** - a mais furtiva em ambientes com pouco monitoramento - cobre protocolos sem criptografia como DNS tunneling, ICMP e FTP simples. --- ## Como Funciona O DNS tunneling é a forma mais documentada e furtiva: dados são **codificados em subdomínios de consultas DNS** e enviados para um servidor DNS autoritativo controlado pelo adversário. Como consultas DNS raramente são inspecionadas em profundidade e a porta 53 UDP quase nunca é bloqueada, o tráfego passa desapercebido. Ferramentas como **dnscat2**, **iodine** e **dns2tcp** implementam esse mecanismo de forma automatizada. O ICMP tunneling segue lógica similar: dados são embutidos nos campos de payload dos pacotes ICMP Echo Request/Reply. Muitas organizações permitem ICMP irrestrito para diagnóstico de rede, criando um canal não monitorado. Ferramentas como **ptunnel** e **icmptunnel** exploram esse vetor. Para exfiltração via e-mail (SMTP/IMAP), o adversário configura credenciais de contas legítimas ou cria contas em provedores gratuitos, e envia dados como anexos ou no corpo de mensagens. Em ambientes corporativos com gateway de e-mail inspecionando apenas tráfego externo, e-mails internos para endereços externos podem escapar de DLP. Em todos os casos, os dados são geralmente **comprimidos e/ou criptografados** antes da transmissão - usando ferramentas como [[t1560-archive-collected-data|T1560 - Archive Collected Data]] - para reduzir o volume e dificultar a inspeção de conteúdo. --- ## Attack Flow ```mermaid graph TB A[Coleta de Dados no Host] --> B[Compressão e Codificação] B --> C{Escolha do Protocolo Alternativo} C --> D[DNS Tunneling - T1048.003] C --> E[ICMP Tunneling - T1048.003] C --> F[SFTP/SCP - T1048.001] C --> G[SMTP/IMAP - T1048.003] D --> H[Consultas DNS para Servidor Controlado] E --> I[Pacotes ICMP com Payload de Dados] F --> J[Transferência Criptografada Ponto a Ponto] G --> K[E-mail com Dados Anexados] H --> L[Servidor DNS Autoritativo do Adversário] I --> L J --> L K --> L L --> M[Exfiltração Completa] ``` --- ## Exemplos de Uso **APT29 (Cozy Bear)** utilizou T1048 na campanha [[solarwinds-supply-chain-attack|SolarWinds Supply Chain Attack]], onde dados de vítimas foram exfiltrados via HTTPS para endpoints distintos da infraestrutura C2 primária - garantindo que a detecção do canal C2 não revelasse automaticamente a extensão dos dados comprometidos. **Sandworm Team**, vinculado ao GRU russo, foi documentado usando DNS tunneling contra infraestruturas críticas ucranianas e europeias, aproveitando que redes industriais (OT/ICS) frequentemente têm controles de DNS permissivos por necessidades operacionais. **Blind Eagle (APT-C-36)**, o grupo de ameaça persistente com maior foco documentado na América Latina, utilizou variantes de exfiltração sobre protocolos alternativos em campanhas contra governos colombiano e brasileiro - especialmente SMTP e FTP em versões mais antigas de seus implantes. **APT41**, com capacidades tanto de espionagem estatal quanto de crime cibernético, combina T1048 com [[t1572-protocol-tunneling|T1572 - Protocol Tunneling]] para criar múltiplas camadas de ofuscação, dificultando atribuição e resposta a incidentes. --- ## Detecção ```yaml title: Exfiltration via DNS Tunneling - High Entropy Subdomains status: experimental logsource: category: dns product: windows detection: selection: QueryName|re: '[a-z0-9]{30,}\.' filter_known_cdn: QueryName|endswith: - '.cloudfront.net' - '.akamaiedge.net' condition: selection and not filter_known_cdn level: high ``` Estrategias de detecção complementares: - **Volume de consultas DNS:** alertar quando um host gera mais de 500 consultas DNS por minuto para domínios de alta entropia - **Tamanho de subdomínios:** subdomínios com mais de 50 caracteres são raros em tráfego legítimo - monitorar ativamente - **Payloads ICMP anômalos:** pacotes ICMP com payload > 64 bytes ou padrões repetitivos no campo de dados - **Transferências FTP não autorizadas:** correlacionar com inventário de servidores FTP autorizados; alertar para qualquer destino externo não listado - **Comportamento de e-mail:** volume incomum de e-mails com anexos grandes saindo de contas não identificadas como marketing ou comunicação --- ## Grupos que Utilizam Esta Técnica %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Ator", origin AS "Origem" FROM "cti/groups" WHERE contains(techniques, this.file.link) ``` %%   | Nota | Ator | Origem | | ---- | ---- | ------ |  --- ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1031 | [[m1031-network-intrusion-prevention\|M1031 - Network Intrusion Prevention]] | Usar sistemas IDS/IPS com assinaturas para DNS tunneling e ICMP tunneling. Ferramentas como Snort e Suricata possuem regras específicas para detectar dnscat2 e iodine. | | M1037 | [[m1037-filter-network-traffic\|M1037 - Filter Network Traffic]] | Restringir resolução DNS a servidores internos controlados. Bloquear consultas DNS diretas para resolvers externos na borda. Filtrar protocolos de transferência de arquivo (FTP, TFTP) não necessários. | | M1057 | [[m1057-data-loss-prevention\|M1057 - Data Loss Prevention]] | Implementar DLP com cobertura além de HTTP/HTTPS - incluindo SMTP, FTP, e inspeção de payload DNS quando técnicamente viável. | --- ## Contexto Brasil/LATAM O Brasil é o principal alvo de [[g0099-blind-eagle-apt-c-36|Blind Eagle]] na América do Sul, com campanhas documentadas contra órgãos do governo federal, tribunais e instituições financeiras. A técnica de exfiltração sobre protocolo alternativo é especialmente preocupante em ambientes de governo brasileiro onde o monitoramento de DNS é frequentemente inexistente ou superficial. Empresas do setor de energia e telecomúnicações no Brasil - classificadas como infraestrutura crítica pelo [[GSI]] - são alvos frequentes de grupos que usam DNS tunneling, pois redes OT/SCADA frequentemente têm regras de firewall permissivas para DNS por necessidades operacionais. A segmentação de rede entre TI e OT é a mitigação mais eficaz nesse contexto. A [[anpd|ANPD]] e os requisitos da [[lgpd|LGPD]] exigem que organizações detectem e reportem exfiltração de dados pessoais em até 72 horas - tornando a detecção precoce de T1048 crítica para conformidade regulatória, não apenas para postura de segurança. --- ## Referências - [[t1041-exfiltration-c2|T1041 - Exfiltration Over C2 Channel]] - [[t1567-exfiltration-over-web-service|T1567 - Exfiltration Over Web Service]] - [[t1071-application-layer-protocol|T1071 - Application Layer Protocol]] - [[t1572-protocol-tunneling|T1572 - Protocol Tunneling]] - [[t1560-archive-collected-data|T1560 - Archive Collected Data]] - [[g0016-apt29|Cozy Bear]] - [[g0034-sandworm|Sandworm Team]] - [[g0099-blind-eagle-apt-c-36|Blind Eagle (APT-C-36)]] *Fonte: MITRE ATT&CK - T1048*