t1567-002-exfiltration-to-cloud-storage

# T1567.002 - Exfiltration to Cloud Storage ## Descrição A exfiltração para serviços de armazenamento em nuvem é uma das técnicas mais eficazes para adversários removerem dados de redes comprometidas sem levantar alertas imediatos. Em vez de utilizar o canal primário de comando e controle, o atacante transfere arquivos sensíveis diretamente para serviços legítimos como Google Drive, Dropbox, OneDrive ou Amazon S3 - plataformas cujo tráfego raramente é bloqueado por firewalls corporativos. Essa legitimidade aparente é exatamente o que torna a técnica tão difícil de detectar: o fluxo de dados se mistura ao uso cotidiano legítimo da organização. O processo é frequentemente automatizado por ferramentas especializadas. O [[s1040-rclone|Rclone]], por exemplo, é amplamente abusado por grupos de ransomware para sincronizar diretórios inteiros com buckets remotos antes da cifragem dos dados locais. Malwares como [[s1023-creepydrive|CreepyDrive]] e [[s1170-odagent|ODAgent]] foram desenvolvidos específicamente para operar sobre APIs de nuvem proprietárias, estabelecendo um canal C2 disfarçado de tráfego de sincronização. A subtécnica se enquadra na técnica pai [[t1567-*|T1567]] - Exfiltration Over Web Service - que contempla qualquer uso de serviços web legítimos para saída de dados. **Contexto Brasil/LATAM:** No Brasil e na América Latina, a ampla adoção corporativa de Google Workspace e Microsoft 365 torna esse vetor particularmente atrativo. Grupos como [[g1024-akira|Akira]] e [[g1051-medusa-ransomware|Medusa Group]], ativos na região, documentadamente utilizam essa técnica para realizar dupla extorsão - exfiltram os dados antes de cifrar, ameaçando públicação caso o resgate não sejá pago. O uso de [[s1040-rclone|Rclone]] configurado para buckets S3 ou contas Google foi observado em incidentes contra organizações dos setores financeiro e de manufatura no Brasil, onde a ausência de inspeção TLS profunda permite que o tráfego passe despercebido. ## Attack Flow ```mermaid graph TB A([Acesso Inicial]) --> B([Reconhecimento Interno]) B --> C([Coleta de Dados]) C --> D([T1567.002 - Exfiltração para Nuvem]):::highlight D --> E([Dupla Extorsão / Impacto]) classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona **1. Preparação** O adversário mapeia os dados de maior valor na rede comprometida - bases de clientes, propriedade intelectual, credenciais armazenadas e documentos financeiros. Ferramentas de compressão como 7-Zip são usadas para empacotar e, em alguns casos, criptografar os arquivos antes da transferência, dificultando a inspeção de conteúdo por DLP. O atacante configura uma conta de destino em um serviço de nuvem legítimo (muitas vezes criada com dados falsos ou abusando de contas de teste gratuitas) e prepara as credenciais de API necessárias. **2. Execução** A transferência é iniciada via linha de comando ou malware especializado. O [[s1040-rclone|Rclone]] é invocado com parâmetros que apontam para o diretório de origem e o bucket remoto, frequentemente executado em horários de baixo monitoramento (madrugada) para minimizar a chance de detecção. Malwares como [[s0037-hammertoss|HAMMERTOSS]] e [[s0660-clambling|Clambling]] implementam mecanismos de upload fragmentado, dividindo arquivos grandes em partes menores para contornar limites de tamanho e evitar padrões de tráfego anômalos. O canal de comunicação utiliza HTTPS padrão na porta 443, tornando o bloqueio por porta ineficaz. **3. Pós-execução** Após a transferência, o adversário pode apagar os logs locais de execução e remover os binários de exfiltração para cobrir rastros. No contexto de ransomware, a etapa seguinte é a cifragem dos arquivos locais. Em operações de espionagem, os dados permanecem no bucket para acesso posterior do operador. Grupos como [[g0094-kimsuky|Kimsuky]] mantêm acesso persistente ao ambiente para realizar exfiltrações incrementais ao longo de semanas ou meses, coletando documentos novos à medida que surgem. ## Detecção **Event IDs relevantes (Windows):** | Event ID | Fonte | Descrição | |----------|-------|-----------| | 4688 | Security | Criação de processo - detectar execução de `rclone.exe`, `robocopy` com destinos externos | | 7045 | System | Instalação de novo serviço - [[s1040-rclone\|Rclone]] às vezes instalado como serviço | | 4663 | Security | Acesso a objeto - leitura em massa de arquivos sensíveis | | 5156 | Security | Conexão de rede - conexões de saída para IPs de CDN de nuvem em volume elevado | | Microsoft-Windows-Sysmon/Operational (ID 3) | Sysmon | Conexões de rede com destino `*.googleapis.com`, `*.dropbox.com`, `*.onedrive.com` de processos inesperados | **Sigma Rule:** ```yaml title: Rclone Exfiltration to Cloud Storage id: a8b3c7d1-4e2f-4a1b-8c3d-9e0f1a2b3c4d status: experimental description: Detecta execução do Rclone com parâmetros de sincronização para serviços de nuvem externos references: - https://attack.mitre.org/techniques/T1567/002/ logsource: category: process_creation product: windows detection: selection_rclone: Image|endswith: - '\rclone.exe' CommandLine|contains: - 'copy' - 'sync' - 'move' selection_cloud_targets: CommandLine|contains: - 'drive:' - 'dropbox:' - 's3:' - 'onedrive:' - 'mega:' - 'box:' condition: selection_rclone and selection_cloud_targets falsepositives: - Uso legítimo de Rclone por equipes de TI para backup autorizado level: high tags: - attack.exfiltration - attack.t1567.002 ``` ## Mitigação | Controle | Implementação Prática | Prioridade | |----------|-----------------------|------------| | Inspeção TLS (SSL Inspection) | Habilitar decriptação TLS no proxy corporativo para inspecionar tráfego HTTPS de saída, incluindo uploads para serviços de nuvem | Alta | | Bloqueio de serviços não autorizados | Usar proxy com lista de permissões para serviços de nuvem. Bloquear Google Drive pessoal, Dropbox e Mega se não forem utilizados corporativamente | Alta | | DLP (Data Loss Prevention) | Implementar políticas de DLP que detectem uploads de arquivos com dados sensíveis (CPF, CNPJ, dados financeiros) para destinos externos | Alta | | Monitoramento de processos | Alertar para execução de `rclone.exe`, `winscp.exe` e similares em workstations fora do inventário de ferramentas aprovadas | Média | | Segmentação de rede | Restringir o acesso direto à internet de servidores de arquivos e banco de dados - tráfego deve passar pelo proxy | Média | | CASB (Cloud Access Security Broker) | Implantar CASB para visibilidade e controle de acessos a serviços de nuvem, com políticas específicas para uploads em volume | Média | ## Threat Actors que Usam - [[g0065-leviathan|Leviathan]] - grupo de espionagem chinês que utiliza a técnica para exfiltrar documentos governamentais e de defesa via serviços de nuvem comerciais - [[g1024-akira|Akira]] - grupo de ransomware ativo no Brasil, usa [[s1040-rclone|Rclone]] para exfiltrar dados antes da cifragem em ataques de dupla extorsão - [[g1014-luminousmoth|LuminousMoth]] - APT que abusou do Google Drive para estabelecer canal C2 e exfiltrar dados de alvos no Sudeste Asiático - [[g0094-kimsuky|Kimsuky]] - grupo norte-coreano de espionagem que usa serviços de nuvem para exfiltração incremental e persistente de documentos - [[g0027-threat-group-3390|Threat Group-3390]] - APT chinês que combina [[s1040-rclone|Rclone]] com outras ferramentas de exfiltração em operações de longa duração - [[g0129-mustang-panda|Mustang Panda]] - usa armazenamento em nuvem como parte de sua cadeia de C2 e exfiltração em campanhas de espionagem - [[g0142-confucius|Confucius]] - grupo sul-asiático que utiliza [[s0538-crutch|Crutch]] para exfiltrar via Dropbox em campanhas de espionagem diplomática - [[g1005-polonium|POLONIUM]] - grupo ligado ao Irã que desenvolveu ferramentas específicas ([[s1023-creepydrive|CreepyDrive]], [[s0629-rainyday|RainyDay]]) para abusar de APIs de nuvem - [[g1001-hexane|HEXANE]] - grupo de espionagem focado em energia e telecomúnicações com uso documentado de [[s1172-oilbooster|OilBooster]] para exfiltração via nuvem - [[g1051-medusa-ransomware|Medusa Group]] - grupo de ransomware com operações documentadas na América Latina, utiliza exfiltração para nuvem em ataques de dupla extorsão ## Software Associado - [[s1040-rclone|Rclone]] - ferramenta de sincronização de arquivos legítima abusada como principal veículo de exfiltração em massa por grupos de ransomware - [[s0629-rainyday|RainyDay]] - backdoor que implementa exfiltração via API de serviços de nuvem como funcionalidade nativa - [[s1023-creepydrive|CreepyDrive]] - malware desenvolvido pelo [[g1005-polonium|POLONIUM]] específicamente para usar OneDrive como canal de C2 e exfiltração - [[s0037-hammertoss|HAMMERTOSS]] - malware sofisticado que usa GitHub, Twitter e armazenamento em nuvem como canais encobertos de C2 e exfiltração - [[s1170-odagent|ODAgent]] - implante que utiliza OneDrive como canal primário de comunicação, misturando tráfego malicioso com uso legítimo de Microsoft 365 - [[s1222-riflespine|RIFLESPINE]] - malware que usa Google Drive como canal de C2 e exfiltração, atribuído ao grupo [[g0065-leviathan|Leviathan]] - [[s0660-clambling|Clambling]] - RAT chinês com módulo de exfiltração para serviços de armazenamento em nuvem - [[s0538-crutch|Crutch]] - backdoor atribuído ao [[g1005-polonium|POLONIUM]] que usa Dropbox como canal de exfiltração e C2 - [[s1172-oilbooster|OilBooster]] - malware do grupo [[g1001-hexane|HEXANE]] que abusa de contas de email e armazenamento em nuvem para comunicação C2 - [[s0340-octopus|Octopus]] - implante com capacidade de exfiltração para serviços de nuvem, usado em campanhas de espionagem na Ásia Central --- *Fonte: [MITRE ATT&CK - T1567.002](https://attack.mitre.org/techniques/T1567/002)*