t1567-002-exfiltration-cloud-storage

# T1567.002 - Exfiltration to Cloud Storage ## Técnica Pai Sub-técnica de [[t1567-exfiltration-over-web-service|T1567 - Exfiltration Over Web Service]] ## Descrição **T1567.002 - Exfiltration to Cloud Storage** é uma sub-técnica de [[t1567-exfiltration-over-web-service|T1567 - Exfiltration Over Web Service]] na qual adversários transferem dados roubados para serviços legítimos de armazenamento em nuvem - como Google Drive, Microsoft OneDrive, Dropbox, MEGA ou Amazon S3 - para ocultar a exfiltração dentro do tráfego HTTPS corporativo normal. A escolha desses destinos é estratégica: são plataformas usadas diariamente por milhões de organizações, e seus domínios raramente são bloqueados por firewalls corporativos. A técnica é especialmente eficaz porque o tráfego para provedores de nuvem reconhecidos se mistura ao uso legítimo de colaboração. Ferramentas como `rclone`, `MEGAcmd`, `gdrive`, `aws s3 cp` e SDKs nativos das plataformas são utilizadas para automatizar transferências em larga escala de forma silenciosa. A criptografia TLS nativa desses serviços impede a inspeção de conteúdo sem que a organização tenha implementado SSL inspection em seus gateways de proxy. [[g0016-apt29|Cozy Bear]] é o grupo mais documentado no uso sofisticado de infraestrutura legítima de nuvem - tanto para exfiltração quanto para C2 - tornando a detecção baseada em reputação de domínio práticamente ineficaz. [[g0032-lazarus-group|Lazarus Group]] utiliza plataformas de armazenamento em nuvem para exfiltrar dados sensíveis de organizações financeiras e de criptomoedas, contornando controles de DLP tradicionais que focam em transferências de arquivo por protocolos convencionais. [[g1043-blackbyte|BlackByte]], por sua vez, usa a ferramenta [[s1179-exbyte|Exbyte]] para exfiltrar dados para armazenamento em nuvem antes de iniciar a fase de cifragem do ransomware. ## Como Funciona O adversário, após obter acesso ao ambiente comprometido, identifica os dados de maior valor - documentos confidenciais, credenciais, propriedade intelectual, dados financeiros ou bases de clientes. Esses dados são frequentemente comprimidos em arquivos `.zip`, `.7z` ou `.tar.gz` com senha para reduzir volume e dificultar inspeção por DLP. Em seguida, o adversário utiliza uma conta de armazenamento em nuvem previamente criada ou comprometida - desvinculada de qualquer identidade rastreável - e autentica-se via token de API ou credenciais. A transferência é realizada por ferramentas de linha de comando (`rclone sync`, `rclone copy`) que suportam múltiplos provedores com uma única interface, ou por SDKs nativos embutidos em malware customizado. O `rclone` em particular é uma escolha popular em incidentes de ransomware por sua velocidade, suporte a dezenas de provedores e capacidade de operar em background sem jánela de GUI. Após a exfiltração, a conta de nuvem pode ser compartilhada com outros membros do grupo ou simplesmente abandonada. Em operações de espionagem prolongadas, a exfiltração é fracionada em volumes menores distribuídos ao longo de dias ou semanas, mimetizando padrões normais de uso de backup ou sincronização de arquivos. Isso dificulta a detecção por anomalias de volume. ## Attack Flow ```mermaid graph TB A[Acesso ao sistema comprometido] --> B[Identificação e coleta de dados sensíveis] B --> C[Compressão e cifragem dos dados<br/>zip, 7z, tar.gz com senha] C --> D[Autenticação na plataforma de nuvem<br/>token de API ou credenciais criadas] D --> E{Ferramenta de upload} E --> F[rclone / MEGAcmd / gdrive CLI] E --> G[SDK nativo embutido em malware<br/>ex: Exbyte, DropBook] E --> H[curl / aws s3 cp / API REST direta] F --> I[Upload via HTTPS para bucket ou pasta do adversário] G --> I H --> I I --> J[Dados armazenados em infraestrutura legítima<br/>indistinguível de tráfego corporativo normal] J --> K[Exfiltração bem-sucedida] ``` ## Exemplos de Uso **APT29 / Cozy Bear** - O grupo russo (SVR) é o caso mais sofisticado de uso desta técnica. Em múltiplas campanhas de espionagem, o APT29 utilizou APIs do OneDrive e Google Drive como canal de exfiltração e C2 bidirecional. A ferramenta [[s0547-dropbook|DropBook]] - atribuída ao grupo - usa o Dropbox como mecanismo de comunicação com o implante, tornando o tráfego indistinguível de sincronização legítima. Em incidentes documentados contra governos europeus, o grupo exfiltrou documentos diplomáticos via contas descartáveis do Google Drive. **Lazarus Group** - O grupo norte-coreano (Lazarus / Bureau 121) utiliza serviços de armazenamento em nuvem em campanhas contra exchanges de criptomoedas, bancos e fabricantes de defesa. Na campanha [[g1052-contagious-interview|Contagious Interview]], após comprometer desenvolvedores com falsas entrevistas de emprego, os implantes [[s1245-invisibleferret|InvisibleFerret]] exfiltram dados de carteiras de criptomoedas e credenciais via APIs de cloud storage. **APT41** - Grupo chinês de dupla motivação (espionagem + crime) documentado usando Amazon S3 para exfiltrar dados de propriedade intelectual de empresas de tecnologia, saúde e telecomúnicações nos EUA e Ásia. Em incidentes do setor farmacêutico, o grupo exfiltrou pesquisas de desenvolvimento de medicamentos para buckets S3 controlados antes de ser detectado. **BlackByte (ransomware)** - Grupo de ransomware que desenvolveu a ferramenta [[s1179-exbyte|Exbyte]] específicamente para exfiltração em massa via serviços de armazenamento em nuvem. O Exbyte autentica-se em contas de armazenamento, faz upload dos dados e inicia a cifragem dos sistemas - operacionalizando a dupla extorsão de forma automatizada. ## Detecção ```yaml title: Detecção de Exfiltração para Cloud Storage status: experimental logsource: category: proxy product: generic detection: selection_upload: http.method: - 'POST' - 'PUT' http.uri|contains: - 'drive.google.com' - 'onedrive.live.com' - 'api.dropboxapi.com' - 'mega.nz' - 's3.amazonaws.com' - 'blob.core.windows.net' - 'storage.googleapis.com' selection_volume: http.response_body_len|gte: 10485760 condition: selection_upload and selection_volume level: medium tags: - attack.exfiltration - attack.t1567.002 ``` **Estrategias adicionais de detecção:** - Monitorar execução de `rclone.exe` ou `MEGAcmd` em hosts não autorizados - especialmente fora do horário comercial - Alertar em processos filhos de `cmd.exe` ou `powershell.exe` invocando CLIs de cloud storage - Baselining de volume de upload por host: alertar quando volume diário supera 3x a média histórica - Correlacionar uploads em volume com eventos de compressão (criação de arquivos `.zip`, `.7z`, `.rar`) - Implementar SSL inspection em proxy para inspecionar conteúdo de uploads para cloud storage - EDR: monitorar criação de arquivos comprimidos seguida imediatamente de conexões de rede a provedores de nuvem ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | [[m1021-restrict-web-based-content\|M1021]] | Restrict Web-Based Content | Implementar allowlist de serviços de cloud storage autorizados. Bloquear acesso a MEGA, provedores pessoais e buckets de contas não corporativas via proxy. | | [[m1037-filter-network-traffic\|M1037]] | Filter Network Traffic | Monitorar e filtrar uploads volumosos via firewall de saída. Implementar regras de alertas para transferências acima de threshold definido por host. | | [[m1057-data-loss-prevention\|M1057]] | Data Loss Prevention | Implementar solução de DLP com SSL inspection capaz de inspecionar conteúdo de uploads para cloud storage. Definir políticas para dados classificados como sensíveis. | ## Contexto Brasil/LATAM No Brasil, a exfiltração para armazenamento em nuvem representa um vetor particularmente preocupante dada a rápida adoção de plataformas como Google Workspace e Microsoft 365 no setor corporativo e governamental. A maioria das organizações da região permite tráfego irrestrito para esses domínios, criando um canal de exfiltração práticamente aberto. Grupos de ransomware ativos no Brasil - afiliados do LockBit, RansomHub, Akira e outros - utilizam regularmente `rclone` para exfiltrar dados de empresas brasileiras antes do deploy do ransomware. Incidentes documentados pelo [[sources|CERT.br]] e reportados na mídia especializada incluem exfiltração de dados de clientes de instituições financeiras, documentos de órgãos públicos e propriedade intelectual de empresas do setor de energia e agronegócio. A ausência de SSL inspection e de controles de DLP efetivos em grande parte das organizações brasileiras - especialmente pequenas e médias empresas - torna esta técnica de alto retorno para os atacantes. Setores como [[_sectors#financeiro|financeiro]], [[_sectors#governo|governo]] e [[_sectors#energia|energia]] são os alvos mais frequentes na região. ## Referências - [[t1567-exfiltration-over-web-service|T1567 - Exfiltration Over Web Service]] - [[t1567-001-exfiltration-to-code-repository|T1567.001 - Exfiltration to Code Repository]] - [[g0016-apt29|Cozy Bear]] - [[g0032-lazarus-group|Lazarus Group]] - [[g0096-apt41|APT41]] - [[g1043-blackbyte|BlackByte]] - [[s1179-exbyte|Exbyte]] - [[s0547-dropbook|DropBook]] - [[s1245-invisibleferret|InvisibleFerret]] - [[g1052-contagious-interview|Contagious Interview]] - [[m1021-restrict-web-based-content|M1021 - Restrict Web-Based Content]] - [[m1037-filter-network-traffic|M1037 - Filter Network Traffic]] - [[m1057-data-loss-prevention|M1057 - Data Loss Prevention]] - [[t1560-archive-collected-data|T1560 - Archive Collected Data]] - [[t1048-exfiltration-alternative-protocol|T1048 - Exfiltration Over Alternative Protocol]] - [[t1071-application-layer-protocol|T1071 - Application Layer Protocol]] - [[t1090-proxy|T1090 - Proxy]] *Fonte: MITRE ATT&CK - T1567.002*