# T1567.003 - Exfiltration to Text Storage Sites ## Técnica Pai > Esta é uma sub-técnica de [[t1567-exfiltration-over-web-service|T1567 - Exfiltration Over Web Service]]. --- ## Descrição Adversários podem exfiltrar dados para **sites de armazenamento de texto** em vez de utilizar seu canal primário de Comando e Controle. Sites como Pastebin, Ghostbin, Hastebin e PrivateBin são amplamente usados por desenvolvedores para compartilhar código, snippets e logs - o que cria cobertura perfeita para tráfego malicioso se misturar ao legítimo. A técnica é atraente porque o tráfego para esses serviços frequentemente **não é bloqueado por firewalls corporativos** - afinal, são plataformas de colaboração reconhecidas. Versões pagas ou com criptografia nativa (como PrivateBin) permitem que adversários ocultem o conteúdo exfiltrado até mesmo de soluções de inspeção de tráfego SSL. Esta sub-técnica é **distinta** de [[t1567-001-exfiltration-to-code-repository|T1567.001 - Exfiltration to Code Repository]], que cobre repositórios como GitHub e GitLab acessados via API. Aqui o foco é em pastas de texto anônimas e de acesso público, que não exigem autenticação e têm retenção configurável - facilitando a entrega de dados ao adversário sem interação direta com infraestrutura controlada. --- ## Como Funciona O fluxo típico envolve coletar dados do host comprometido (credenciais, arquivos sensíveis, configurações, dumps de memória), compactá-los e/ou codificá-los em Base64 ou formato hexadecimal, e então fazer upload para um site de armazenamento de texto via requisição HTTP POST autenticada ou anônima. O adversário acessa o paste posteriormente - de qualquer lugar do mundo - por meio da URL gerada, sem necessidade de manter infraestrutura de C2 ativa. Alguns grupos utilizam pastes com **tempo de vida configurado** (burn-after-read ou expiração em horas) para dificultar a análise forense retroativa. Ferramentas de acesso remoto e scripts maliciosos frequentemente integram chamadas diretas às APIs de sites como Pastebin para automatizar o processo. Em ambientes ESXi, essa técnica pode ser usada após comprometimento de hipervisores para exfiltrar configurações de máquinas virtuais e backups - aproveitando que sistemas ESXi raramente têm DLP instalado. A técnica também serve como segunda camada: dados já exfiltrados via [[t1041-exfiltration-c2|T1041 - Exfiltration Over C2 Channel]] podem ser públicados em pastes públicos para entrega a terceiros (como em operações de extorsão ou vazamento de dados). --- ## Attack Flow ```mermaid graph TB A[Acesso Inicial ao Host] --> B[Coleta de Dados Sensíveis] B --> C[Compressão e Codificação Base64/Hex] C --> D{Canal de Exfiltração} D --> E[Upload para Pastebin / Hastebin / PrivateBin] D --> F[Upload para Ghostbin / Paste.ee] E --> G[Paste Público ou Privado Criado] F --> G G --> H[Adversário Recupera via URL] H --> I[Exfiltração Completa] G --> J[Paste Expirado - Dificulta Forense] ``` --- ## Exemplos de Uso **Blind Eagle (APT-C-36)** é o grupo mais documentado usando esta sub-técnica na América Latina. O grupo, com foco em alvos colombianos, brasileiros e equatorianos, utilizou Pastebin para hospedar tanto payloads de segunda fase quanto dados exfiltrados de vítimas nos setores governamental e financeiro. A mistura de uso legítimo e malicioso da plataforma dificultou o bloqueio por times de segurança. **APT41** foi documentado utilizando serviços de paste para staging de payloads e exfiltração em campanhas de espionagem, aproveitando o caráter transfronteiriço dessas plataformas para dificultar investigações de diferentes jurisdições. Em operações de ransomware dupla extorsão, operadores como os do ecossistema [[lockbit|LockBit]] e grupos afiliados públicaram amostras de dados de vítimas em sites de paste como prova de acesso antes de negociar o pagamento - combinando exfiltração e pressão psicológica em uma única técnica. --- ## Detecção ```yaml title: Exfiltration to Text Storage Site via HTTP POST status: experimental logsource: category: network_connection product: windows detection: selection: DestinationHostname|contains: - 'pastebin.com' - 'hastebin.com' - 'ghostbin.com' - 'paste.ee' - 'privatebin.net' - 'rentry.co' HttpMethod: 'POST' filter_legitimate: User|contains: 'developer' condition: selection and not filter_legitimate level: medium ``` Além da regra Sigma acima, recomenda-se: - Monitorar requisições HTTP POST para domínios de paste conhecidos, especialmente fora do horário comercial - Alertar sobre volumes incomuns de dados enviados (payload > 100KB) para esses domínios - Correlacionar com [[t1560-archive-collected-data|T1560 - Archive Collected Data]] - a combinação de compressão seguida de POST para paste site é indicativo forte - Inspecionar conteúdo de pastes criados por IPs corporativos quando possível (algumas plataformas têm APIs para isso) - Usar [[t1087-account-discovery|descoberta de contas]] e análise de comportamento de usuário (UEBA) para identificar processos não usuais fazendo chamadas de rede --- ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1021 | [[m1021-restrict-web-based-content\|M1021 - Restrict Web-Based Content]] | Bloquear ou restringir acesso a sites de paste conhecidos via proxy corporativo e listas de categorias de URL. Aplicar exceções apenas para casos de negócio justificados. | Medidas complementares recomendadas: - Implementar **DLP (Data Loss Prevention)** com regras para detectar transmissão de grandes volumes de texto codificado em Base64 via HTTP/HTTPS - Configurar **proxy SSL inspection** para inspecionar tráfego HTTPS para domínios de paste - crucial para detectar conteúdo criptografado - Manter lista atualizada de domínios de paste conhecidos (incluindo variantes menos populares como rentry.co, paste.fo, dpaste.com) na solução de filtragem de conteúdo --- ## Contexto Brasil/LATAM O Brasil é um dos alvos mais frequentes de [[g0099-blind-eagle-apt-c-36|Blind Eagle]], grupo que usa sistematicamente sites de paste para suas operações contra entidades governamentais, financeiras e jurídicas brasileiras e colombianas. A familiaridade cultural com Pastebin no meio técnico dificulta a conscientização sobre o risco dessa técnica. O setor financeiro brasileiro, alvo recorrente de grupos como [[g0049-oilrig|OilRig]] e atores de crime cibernético local, deve incluir monitoramento de tráfego para sites de paste em sua estratégia de DLP - especialmente em ambientes onde desenvolvedores têm acesso legítimo a essas plataformas, tornando o contexto e o volume dos uploads a principal variável de detecção. Reguladores como o [[banco-central-brasil|Banco Central do Brasil]] e a [[lgpd|LGPD]] exigem controles de exfiltração que incluam canais não convencionais - sites de armazenamento de texto se enquadram nessa categoria e devem ser documentados em avaliações de risco e testes de red team. --- ## Referências - [[t1567-exfiltration-over-web-service|T1567 - Exfiltration Over Web Service]] (técnica pai) - [[t1567-001-exfiltration-to-code-repository|T1567.001 - Exfiltration to Code Repository]] - [[t1041-exfiltration-c2|T1041 - Exfiltration Over C2 Channel]] - [[t1560-archive-collected-data|T1560 - Archive Collected Data]] - [[m1021-restrict-web-based-content|M1021 - Restrict Web-Based Content]] - [[g0099-blind-eagle-apt-c-36|Blind Eagle (APT-C-36)]] - [[t1608-stage-capabilities|T1608 - Stage Capabilities]] *Fonte: MITRE ATT&CK - T1567.003*