# T1052.001 - Exfiltration over USB ## Técnica Pai Esta é uma sub-técnica de [[t1052-exfiltration-over-physical-medium|T1052 - Exfiltration Over Physical Medium]]. ## Descrição Adversários podem tentar exfiltrar dados por meio de dispositivos físicos conectados via USB. Em determinadas circunstâncias - especialmente em ambientes com redes isoladas fisicamente (air-gapped) - a exfiltração pode ocorrer por meio de um dispositivo USB introduzido por um usuário, sejá intencionalmente (insider threat) ou sem conhecimento (via engenharia social ou dispositivo previamente comprometido). O dispositivo USB pode ser utilizado como ponto final de exfiltração - copiando dados diretamente para um pen drive, HD externo ou câmera - ou como ponte entre sistemas que de outra forma não teriam conectividade entre si. Essa segunda modalidade é especialmente relevante em ambientes industriais (OT/ICS) e militares, onde redes críticas são deliberadamente mantidas desconectadas da internet, mas onde dispositivos removíveis são utilizados rotineiramente para transferência de arquivos entre segmentos. A técnica é particularmente associada a grupos de espionagem de estado-nação que operam em ambientes de alta segurança, como instalações governamentais, bases militares e infraestrutura crítica. [[g0129-mustang-panda|Mustang Panda]] e [[g0081-tropic-trooper|Tropic Trooper]] são exemplos documentados de grupos APT que mantêm capacidades específicas de infecção e exfiltração via USB como parte de sua cadeia de ataque contra alvos air-gapped na Ásia e no Oriente Médio. ## Como Funciona A exfiltração via USB segue dois padrões principais, dependendo do nível de acesso e do objetivo do adversário: **Padrão 1 - Cópia direta por insider ou acesso físico:** o adversário com acesso físico ao sistema alvo conecta um dispositivo USB e copia os dados manualmente ou por meio de script automatizado. Nesse cenário, ferramentas como `xcopy`, `robocopy` (Windows) ou `rsync` (Linux) são frequentemente utilizadas para transferir rapidamente arquivos de interesse para o dispositivo. Malwares como [[s0136-usbstealer|USBStealer]] automatizam essa coleta, monitorando continuamente a inserção de novos dispositivos USB e copiando arquivos com extensões predefinidas assim que um dispositivo é conectado. **Padrão 2 - Propagação de malware USB para bridging:** em ataques a redes air-gapped, o adversário primeiro compromete uma máquina com acesso à internet e instala um componente que monitora dispositivos USB. Quando um USB é conectado a essa máquina, o malware copia automaticamente um componente de infecção para o dispositivo. Quando o mesmo USB é levado para a rede isolada e inserido em uma máquina air-gapped, o componente é executado (frequentemente via autorun ou exploração de vulnerabilidades de parsing de LNK/INI). Na rede isolada, o malware coleta dados e os armazena cifrados no USB. Quando o dispositivo retorna à máquina conectada à internet, os dados são extraídos e exfiltrados para o C2 remoto. Esse padrão foi observado no malware [[s0092-agentbtz|Agent.btz]] e em variantes do [[s0125-remsec|Remsec]] atribuídas ao grupo Equation Group. O malware [[g0095-machete|Machete]], associado a operações de espionagem na América Latina - incluindo alvos no Brasil, Equador e Venezuela - combina vigilância (keylogging, capturas de tela) com exfiltração de dados por USB, sendo um exemplo relevante para a região. ## Attack Flow ```mermaid graph TB A[Comprometimento de máquina com acesso a USB] --> B[Instalação de componente monitor de USB] B --> C[Aguarda inserção de dispositivo USB pelo usuário] C --> D[Coleta automática de arquivos de interesse no USB] D --> E{Rede air-gapped?} E -- Sim --> F[USB levado para rede isolada - infecção e coleta] F --> G[USB retorna à máquina conectada] G --> H[Dados copiados do USB para canal C2] E -- Não --> I[Exfiltração direta do USB ou por cópia manual] H --> J[Dados no servidor do adversário] I --> J ``` ## Exemplos de Uso **Mustang Panda (Bronze President)** - grupo APT chinês com histórico extenso de campanhas via USB contra governos e organizações do Sudeste Asiático, Europa e África. O grupo utiliza o malware PlugX com módulo específico de replicação USB, capaz de copiar automaticamente dados para pen drives inseridos em máquinas comprometidas. O componente USB do PlugX cria arquivos ocultos no dispositivo e utiliza LNK files para executar o payload quando o USB é inserido em uma nova máquina. **Tropic Trooper (KeyBoy)** - grupo APT com nexo a Taiwan e China, observado utilizando o malware [[s0035-spaceship|SPACESHIP]] para exfiltrar dados via USB de organizações governamentais e de defesa no Sudeste Asiático. O grupo foca em ambientes onde o uso de USB é a norma operacional para compartilhamento de arquivos. **Agent.btz / Turla** - o worm [[s0092-agentbtz|Agent.btz]], utilizado em campanhas atribuídas ao grupo Turla (russo), é um dos exemplos mais conhecidos de malware USB para bridging de redes air-gapped. Foi detectado em redes militares dos Estados Unidos em 2008 e permaneceu ativo por anos. O malware criava arquivos `thumb.dd` cifrados em dispositivos USB para armazenar dados coletados em redes isoladas. **Remsec (Strider)** - o malware [[s0125-remsec|Remsec]], atribuído ao Equation Group, possui módulo específico de coleta e exfiltração via USB projetado para bridging de redes air-gapped em alvos de alto valor, incluindo instalações governamentais e de pesquisa científica. **Machete** - malware de espionagem com operação documentada na América Latina, incluindo alvos brasileiros e venezuelanos. O [[g0095-machete|Machete]] combina RAT tradicional com módulo de exfiltração USB, copiando documentos de Office, PDFs e imagens de qualquer dispositivo removível inserido no sistema infectado. **USBStealer** - ferramenta especializada em exfiltração via USB, documentada em campanhas contra entidades governamentais da Europa Oriental. O [[s0136-usbstealer|USBStealer]] monitora dispositivos USB em tempo real e executa coleta seletiva baseada em extensão de arquivo e tamanho. ## Detecção ```yaml title: Exfiltração de Dados via Dispositivo USB status: experimental logsource: category: file_event product: windows detection: selection_usb_write: TargetFilename|startswith: - 'E:\' - 'F:\' - 'G:\' - 'H:\' TargetFilename|endswith: - '.zip' - '.rar' - '.7z' - '.tar' - '.gz' - '.docx' - '.xlsx' - '.pdf' - '.db' - '.sql' filter_user_known: User|startswith: 'CORP\' condition: selection_usb_write and not filter_user_known falsepositives: - Transferências legítimas de arquivos por usuários autorizados - Backups em mídia removível aprovados pela política de TI - Dispositivos de backup corporativos conectados periodicamente level: high ``` **Indicadores adicionais de exfiltração via USB:** - Processos gravando volumes elevados de dados em caminhos de drive removível (letras acima de D:\ no Windows) - Criação de arquivos ocultos (atributo hidden) em dispositivos USB por processos não relacionados ao explorer.exe - Eventos de inserção de USB fora do horário comercial ou em sistemas de servidor (onde USB não é uso esperado) - Logs de registro de dispositivo (Event ID 6416 no Windows) para dispositivos USB desconhecidos - Processos de sistema lendo listas de arquivos de interesse (por extensão) seguidos imediatamente por eventos de escrita em dispositivo removível - Arquivos cifrados ou comprimidos criados em dispositivo USB por processos de linha de comando ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1042 | [[m1042-disable-or-remove-feature-or-program\|M1042 - Disable or Remove Feature or Program]] | Desabilitar o autorun/autoplay de dispositivos USB via Group Policy (Windows) e equivalentes em outros SO. Em sistemas de alta criticidade, desabilitar completamente os controladores USB via BIOS/UEFI ou bloquear por política de hardware | | M1034 | [[m1034-limit-hardware-installation\|M1034 - Limit Hardware Installation]] | Implementar controle de dispositivos USB baseado em allowlist de IDs de hardware aprovados (Vendor ID + Product ID). Soluções como Windows Defender Device Control, Ivanti Device Control ou equivalentes permitem bloquear todos os dispositivos USB não catalogados | | M1057 | [[m1057-data-loss-prevention\|M1057 - Data Loss Prevention]] | Implementar DLP com agente de endpoint capaz de monitorar e bloquear transferências de dados classificados para dispositivos removíveis. Configurar políticas de DLP para alertar ou bloquear cópias de arquivos sensíveis para USB com base em conteúdo, não apenas em extensão | **Controles adicionais recomendados:** - Monitorar eventos de inserção de USB (Windows Event Log: Kernel-PnP Event 410/411/412) em todos os endpoints, especialmente em sistemas de alta criticidade - Implementar criptografia obrigatória em dispositivos USB corporativos (BitLocker To Go ou equivalente) - dispositivos não cifrados bloqueados automaticamente - Em ambientes de alta segurança: sealant físico nas portas USB, câmeras de vigilância nas áreas de acesso a sistemas críticos, e auditoria de todos os dispositivos USB que entram/saem das instalações - Política de "USB proibido" em servidores e sistemas de infraestrutura crítica, com portas físicas bloqueadas ou desativadas via BIOS ## Contexto Brasil/LATAM A exfiltração via USB representa um vetor de ameaça particular em dois contextos relevantes para o Brasil e a América Latina: o segmento de espionagem industrial e o ambiente de infraestrutura crítica com redes OT/ICS parcialmente air-gapped. O malware [[g0095-machete|Machete]], com operação documentada contra alvos brasileiros, venezuelanos e equatorianos - incluindo entidades militares e governamentais -, é o exemplo mais direto de uso de USB para espionagem na região. As campanhas do Machete, ativas desde pelo menos 2010, demonstram que atores de ameaça com foco na América Latina mantêm capacidades USB maduras e adaptadas ao contexto regional, onde o compartilhamento de arquivos via pen drive ainda é comum em ambientes governamentais e militares com conectividade de rede limitada. Em ambiente industrial brasileiro - especialmente no setor de [[_sectors|energia]] (pré-sal, termelétricas) e [[_sectors|manufatura]] -, dispositivos USB são frequentemente o único meio de transferência de dados entre redes OT e IT, criando um vetor de risco estrutural. Incidentes documentados pelo [[sources|CERT.br]] indicam que trojans bancários com módulos de replicação USB foram encontrados em equipamentos industriais brasileiros, sugerindo infecção acidental originada de estações de trabalho administrativas. A consciência sobre controles de USB ainda é baixa em organizações de médio porte no Brasil, onde políticas formais de gerenciamento de dispositivos removíveis são frequentemente inexistentes ou não aplicadas técnicamente - criando um ambiente favorável para a exfiltração via mídia física tanto por insiders quanto por adversários externos que comprometeram pontos de entrada conectados à internet. ## Referências - [[t1052-exfiltration-over-physical-medium|T1052 - Exfiltration Over Physical Medium]] - [[t1091-replication-through-removable-media|T1091 - Replication Through Removable Media]] - [[t1074-data-staged|T1074 - Data Staged]] - [[m1034-limit-hardware-installation|M1034 - Limit Hardware Installation]] - [[m1057-data-loss-prevention|M1057 - Data Loss Prevention]] - [[g0129-mustang-panda|Mustang Panda]] - [[g0081-tropic-trooper|Tropic Trooper]] - [[g0095-machete|Machete]] - [[s0092-agentbtz|Agent.btz]] - [[s0136-usbstealer|USBStealer]] *Fonte: MITRE ATT&CK - T1052.001*