t1567-004-exfiltration-over-webhook

# T1567.004 - Exfiltration Over Webhook ## Técnica Pai [[t1567-exfiltration-over-web-service|T1567 - Exfiltration Over Web Service]] ## Descrição Adversários podem exfiltrar dados para um endpoint de webhook em vez de utilizar o canal de comando e controle principal. Webhooks são mecanismos simples que permitem a um servidor enviar dados via HTTP/S para um cliente sem que este precise realizar polling contínuo. Serviços populares como Discord, Slack, Teams, e plataformas como `webhook.site` permitem a criação de endpoints de webhook que podem ser acionados por outras aplicações (GitHub, Jira, Trello, entre outros) sempre que um evento ocorre - como um push de repositório ou a modificação de um ticket. Adversários exploram essa funcionalidade de duas formas principais: vinculando um ambiente controlado por eles a um serviço SaaS da vítima para obter exfiltração automatizada e contínua de e-mails, mensagens de chat e documentos (semelhante ao [[t1020-automated-exfiltration|T1020 - Automated Exfiltration]]); ou postando manualmente dados coletados diretamente na URL do webhook após uma fase de estagiamento. Em ambos os casos, o mecanismo pode ser explorado sem levantar alertas imediatos, pois parece tráfego legítimo oriundo de integrações de software amplamente utilizadas. O acesso a endpoints de webhook é realizado predominantemente via HTTPS, o que oferece ao adversário uma camada adicional de proteção por criptografia em trânsito. Adicionalmente, o tráfego gerado se mistura organicamente com comúnicações legítimas de plataformas SaaS corporativas - como [[microsoft-teams|Microsoft Teams]] ou [[slack|Slack]] -, tornando a detecção baseada apenas em destino de rede práticamente ineficaz. Essa técnica é especialmente eficaz em ambientes corporativos que dependem fortemente de integrações de terceiros. ## Como Funciona Um adversário que obteve acesso a um ambiente SaaS ou a uma estação de trabalho pode: 1. **Descobrir integrações existentes**: identificar webhooks já configurados no ambiente da vítima (ex.: integração GitHub → Slack) e redirecionar ou adicionar um endpoint adversarial. 2. **Criar novo webhook**: em plataformas como Discord ou webhook.site, criar um endpoint que recebe e armazena dados enviados via HTTP POST. 3. **Vincular ao serviço da vítima**: configurar o serviço SaaS da vítima (Microsoft 365, Google Workspace, GitHub) para enviar notificações ou dados a esse endpoint adversarial, obtendo exfiltração automática e recorrente. 4. **Post manual**: alternativamente, após coletar e comprimir dados localmente, o adversário faz um HTTP POST direto para o endpoint do webhook com os arquivos ou strings exfiltrados. O canal HTTPS torna a inspeção de payload difícil sem TLS inspection. O tráfego tem origem em processos legítimos (navegador, agentes de integração) e aponta para FQDNs reconhecidos (discord.com, hooks.slack.com), o que contorna muitas regras de firewall baseadas em reputação de domínio. ## Attack Flow ```mermaid graph TB A[Acesso inicial ao ambiente SaaS ou endpoint] --> B[Identificação de dados sensíveis e integrações existentes] B --> C[Criação ou comprometimento de endpoint webhook adversarial] C --> D[Vinculação do serviço da vítima ao webhook ou coleta manual de dados] D --> E[Exfiltração via HTTP POST para endpoint controlado] E --> F[Dados recebidos e armazenados no ambiente adversarial] F --> G[Exfiltração repetida e automatizada sem detecção] ``` ## Exemplos de Uso Embora esta sub-técnica sejá relativamente recente no framework MITRE (adicionada na versão 16), já foram observados os seguintes padrões de abuso: - **Campanhas de Business Email Compromise (BEC)**: adversários comprometem contas Microsoft 365 e configuram regras de encaminhamento que disparam webhooks para endereços externos, resultando em exfiltração contínua de e-mails sem acesso direto ao mailbox. - **Abuso de Discord Webhooks**: grupos de ameaça com foco em gamers e comunidades online utilizaram webhooks do Discord como canal de exfiltração de credenciais coletadas por stealers, aproveitando a confiança generalizada no domínio `discord.com`. - **Integração com GitHub Actions**: adversários com acesso a repositórios privados configuram GitHub Actions para enviar segredos e variáveis de ambiente para webhooks externos como parte do pipeline de CI/CD comprometido. - **Campanhas de infostealer**: famílias de malware como [[s1240-redline-stealer|RedLine Stealer]] e variantes de [[lumma-stealer|Lumma Stealer]] adotaram webhooks do Discord e Telegram como canal de exfiltração de credenciais coletadas, substituindo infraestrutura C2 dedicada para reduzir custos operacionais e aumentar a resiliência. ## Detecção ```yaml title: Exfiltração de dados via webhook para plataformas de colaboração status: experimental logsource: category: network_connection product: windows detection: selection_webhook_sites: dst_hostname|contains: - 'discord.com/api/webhooks' - 'hooks.slack.com/services' - 'webhook.site' - 'discord.com/api/v' - 'discordapp.com/api/webhooks' selection_method: http_method: 'POST' selection_process: Image|endswith: - '\powershell.exe' - '\cmd.exe' - '\wscript.exe' - '\curl.exe' - '\python.exe' condition: selection_webhook_sites and selection_method and selection_process level: high tags: - attack.exfiltration - attack.t1567.004 ``` Adicionalmente, monitorar: - **Criação de novas integrações/webhooks** em plataformas SaaS (Microsoft 365 audit logs, Google Workspace Admin SDK, Slack audit logs) - especialmente fora do horário comercial. - **Volume de dados**: requisições POST para endpoints de webhook com payload acima de 8MB são anômalas e devem ser alertadas. - **Novos destinos**: uso de `webhook.site`, `pipedream.net`, `requestcatcher.com` ou similares por processos que não sejam navegadores é indicador de alto risco. - **Regras de encaminhamento de e-mail** criadas via API ou console que apontam para endereços externos desconhecidos. ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1057 | [[m1057-data-loss-prevention\|M1057 - Data Loss Prevention]] | Implementar políticas de DLP que inspecionem o conteúdo de requisições HTTP POST para domínios externos, bloqueando envios de arquivos sensíveis ou grandes volumes de dados para endpoints de webhook não autorizados | | M1021 | [[m1021-restrict-web-based-content\|M1021 - Restrict Web-Based Content]] | Criar allowlist de domínios autorizados para integrações SaaS; bloquear o acesso a serviços de webhook genéricos (webhook.site, pipedream.net) que não tenham propósito de negócio justificado | | M1047 | [[m1047-audit\|M1047 - Audit]] | Auditar periodicamente todas as integrações de webhook configuradas nos serviços SaaS corporativos (Microsoft 365, Google Workspace, GitHub, Slack) para identificar endpoints não reconhecidos | | M1018 | [[m1018-user-account-management\|M1018 - User Account Management]] | Aplicar princípio de menor privilégio para permissões de criação e gerenciamento de webhooks em plataformas SaaS - restringir criação de integrações a administradores | ## Contexto Brasil/LATAM No contexto brasileiro, o abuso de webhooks tem crescido como vetor de exfiltração, especialmente em ataques direcionados ao setor [[_sectors|financeiro]] e ao [[government|setor público]]. A alta adoção de plataformas como Microsoft Teams, Slack e ferramentas de DevOps (GitHub, Jira) no Brasil cria uma ampla superfície de ataque para esta técnica. Grupos de ameaça com atividade documentada no Brasil, como os que operam o [[s0531-grandoreiro|Grandoreiro]] e outros trojans bancários brasileiros, têm progressivamente adotado infraestrutura de webhook como alternativa a servidores C2 tradicionais, que são mais facilmente bloqueados por listas de reputação. A utilização de Discord como canal de exfiltração é particularmente prevalente em ataques a usuários brasileiros, dado o alto uso da plataforma no país. Organizações brasileiras devem incorporar monitoramento de integrações SaaS ao seu programa de segurança, especialmente em ambientes que utilizam Microsoft 365 - plataforma dominante no mercado corporativo nacional -, e revisar periodicamente os webhooks configurados em repositórios GitHub e sistemas de gerenciamento de projetos. ## Referências - [[t1567-exfiltration-over-web-service|T1567 - Exfiltration Over Web Service]] - [[t1020-automated-exfiltration|T1020 - Automated Exfiltration]] - [[t1071-application-layer-protocol|T1071 - Application Layer Protocol]] - [[m1057-data-loss-prevention|M1057 - Data Loss Prevention]] - [[m1021-restrict-web-based-content|M1021 - Restrict Web-Based Content]] - [[s1240-redline-stealer|RedLine Stealer]] - [[lumma-stealer|Lumma Stealer]] - [[_sectors|Setores - Visão Geral]] *Fonte: MITRE ATT&CK - T1567.004*