t1052-exfiltration-over-physical-medium

# T1052 - Exfiltration Over Physical Medium ## Sub-técnicas - [[t1052-001-exfiltration-over-usb|T1052.001 - Exfiltration over USB]] ## Descrição A exfiltração por meio físico consiste no uso de dispositivos de armazenamento removíveis para retirar dados de um ambiente comprometido sem depender de canais de rede. Adversários conectam fisicamente um pen drive, HD externo, cartão de memória, smartphone ou outro dispositivo de armazenamento a um sistema já comprometido e copiam os arquivos de interesse antes de se retirar da área. Essa técnica é especialmente relevante em cenários onde a rede alvo está fisicamente isolada - os chamados ambientes *air-gapped* - ou quando o tráfego de rede é monitorado de forma rigorosa, tornando a exfiltração lógica arriscada demais. O vetor físico permite ao adversário contornar completamente controles de DLP baseados em rede, firewalls e sistemas de inspeção de tráfego, já que os dados nunca trafegam por canais digitais convencionais. Em operações de espionagem industrial ou ataques a infraestruturas críticas, atores de ameaça muitas vezes combinam essa técnica com malware que monitora automaticamente a conexão de mídias removíveis e dispara a cópia de arquivos pré-selecionados assim que o dispositivo é conectado. O operador - ou um cúmplice interno - apenas precisa conectar e desconectar o dispositivo dentro do tempo de jánela disponível. ## Como Funciona O fluxo técnico da exfiltração por meio físico pode ocorrer de forma manual ou totalmente automatizada: **Modo manual:** o operador acessa fisicamente o sistema (ou recruta um insider), conecta um dispositivo removível e executa a cópia dos dados de interesse via linha de comando (`xcopy`, `robocopy`, `dd`) ou simplesmente pelo gerenciador de arquivos do sistema operacional. **Modo automatizado (malware):** o adversário implanta previamente um componente malicioso que monitora eventos de conexão de dispositivos removíveis (por exemplo, via WMI, `udev` no Linux ou notificações de volume no macOS). Ao detectar uma nova mídia, o malware copia automaticamente arquivos previamente mapeados - frequentemente comprimidos e/ou criptografados - para o dispositivo, sem necessitar de ação adicional do operador. Essa abordagem minimiza o tempo de exposição física. Adversários também podem usar o dispositivo como um *hop point*: dados são primeiro movidos de um sistema isolado para um computador intermediário conectado à rede, e somente então exfiltrados via canais lógicos - combinando [[t1052-001-exfiltration-over-usb|T1052.001]] com [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]]. ## Attack Flow ```mermaid graph TB A[Acesso ao sistema comprometido] --> B[Mapeamento e coleta de arquivos de interesse] B --> C[Compressão e/ou criptografia local dos dados] C --> D{Ambiente air-gapped?} D -->|Sim| E[Conexão física de mídia removível] D -->|Não| F[Mídia como hop-point intermediário] E --> G[Cópia automatizada ou manual para o dispositivo] F --> G G --> H[Remoção física do dispositivo] H --> I[Dados exfiltrados fora do perímetro] ``` ## Exemplos de Uso **Operação de espionagem em infraestrutura crítica (Dragonfly / Energetic Bear):** grupos vinculados à Rússia documentaram uso de mídias físicas em ataques a usinas de energia e plantas industriais, especialmente em redes OT/ICS fisicamente segregadas, onde a exfiltração lógica é inviável por arquitetura de segurança. **APT34 (OilRig):** relatórios indicam que operadores desse grupo associado ao Irã utilizaram dispositivos USB em ataques a organizações do Oriente Médio com segmentos de rede isolados, exfiltrando documentos confidenciais do setor de energia. **Ataques por insiders:** diversas violações documentadas em órgãos governamentais e empresas de defesa envolveram funcionários que copiaram dados classificados para pen drives pessoais - vetor que dispensa qualquer malware e é difícil de distinguir de uso legítimo sem controles de DLP adequados. **Ambiente de manufatura no Brasil:** no contexto LATAM, ataques a plantas industriais e fornecedores de infraestrutura crítica com redes OT segregadas utilizam esse vetor quando o adversário consegue comprometer estações de trabalho de engenharia com acesso físico intermitente. ## Detecção ```yaml title: Detecção de exfiltração por mídia removível status: experimental logsource: category: process_creation product: windows detection: selection_usb_copy: EventID: 4663 ObjectType: File AccessMask: "0x2" filter_system_paths: ObjectName|startswith: - "C:\\Windows\\" - "C:\\Program Files\\" condition: selection_usb_copy and not filter_system_paths level: high ``` ```yaml title: Novo volume removível montado - monitoramento de mídia status: experimental logsource: category: driver_load product: windows detection: selection: EventID: 6416 DeviceDescription|contains: - "USB" - "Removable" condition: selection level: medium ``` Indicadores complementares a monitorar: - Eventos de montagem de volume removível em estações fora do horário comercial - Execução de ferramentas de cópia em massa (`robocopy`, `xcopy`, `dd`, `rsync`) a partir de processos de usuário comuns - Alto volume de leitura de arquivos seguido de escrita em caminho de dispositivo removível (`D:\`, `E:\`, `/media/`, `/Volumes/`) - Criação de arquivos `.zip` ou `.7z` imediatamente antes da conexão de um dispositivo externo - Logs do Sistema (Event ID 6416 no Windows) para conexão de dispositivos USB ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | [[m1057-data-loss-prevention\|M1057]] | Data Loss Prevention | Implementar políticas de DLP que bloqueiem ou alertem cópias de dados sensíveis para mídias removíveis. Ferramentas como Microsoft Purview, Symantec DLP e similares monitoram e controlam transferências para dispositivos externos. | | [[m1034-limit-hardware-installation\|M1034]] | Limit Hardware Installation | Usar políticas de Grupo (GPO) ou MDM para bloquear a instalação e o uso de dispositivos USB não autorizados. No Windows, controlar via `HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR`. | | [[m1042-disable-or-remove-feature-or-program\|M1042]] | Disable or Remove Feature or Program | Desabilitar completamente portas USB e leitores de mídia em sistemas que não requerem essa funcionalidade, especialmente em ambientes de alta segurança como redes OT/ICS e sistemas air-gapped. | ## Contexto Brasil/LATAM No Brasil, a exfiltração por meio físico é um vetor subestimado mas presente em setores como energia elétrica, petróleo e gás, defesa e órgãos governamentais com redes air-gapped ou segmentadas. O [[_sectors|setor de infraestrutura crítica]] brasileiro opera com redes OT/ICS frequentemente isoladas da internet por arquitetura, tornando esse vetor o principal caminho de saída para dados nesses ambientes. Incidentes envolvendo *insiders* com acesso a dados classificados - particularmente em agências governamentais e empresas de defesa - historicamente utilizam pen drives como vetor de exfiltração, sendo difícil distinguir cópias maliciosas de uso operacional legítimo sem controles de DLP e monitoramento de endpoints robustos. A [[_sectors|indústria de manufatura]] avançada no Brasil, especialmente no eixo São Paulo–Minas, também figura como alvo em espionagem industrial onde esse vetor é empregado. Regulatórias como a LGPD (Lei Geral de Proteção de Dados) e normas do setor elétrico (ANEEL) exigem controles de exfiltração de dados, criando obrigação legal de monitorar esse vetor além da motivação puramente técnica de segurança. ## Referências - [[t1052-001-exfiltration-over-usb|T1052.001 - Exfiltration over USB]] - [[m1057-data-loss-prevention|M1057 - Data Loss Prevention]] - [[m1034-limit-hardware-installation|M1034 - Limit Hardware Installation]] - [[m1042-disable-or-remove-feature-or-program|M1042 - Disable or Remove Feature or Program]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1048-exfiltration-over-alternative-protocol|T1048 - Exfiltration Over Alternative Protocol]] - [[_sectors|Setores Críticos - Infraestrutura e Energia]] *Fonte: MITRE ATT&CK - T1052*