# T1567 - Exfiltration Over Web Service ## Sub-técnicas - [[t1567-001-exfiltration-to-code-repository|T1567.001 - Exfiltration to Code Repository]] - [[t1567-002-exfiltration-to-cloud-storage|T1567.002 - Exfiltration to Cloud Storage]] - [[t1567-002-exfiltration-cloud-storage|T1567.002 - Exfiltration Over Web Service: Exfiltration to Cloud Storage]] - [[t1567-003-exfiltration-to-text-storage-sites|T1567.003 - Exfiltration to Text Storage Sites]] - [[t1567-004-exfiltration-over-webhook|T1567.004 - Exfiltration Over Webhook]] ## Descrição **T1567 - Exfiltration Over Web Service** é uma técnica de exfiltração na qual adversários utilizam serviços web legítimos e amplamente conhecidos - como plataformas de armazenamento em nuvem, repositórios de código, sites de compartilhamento de texto e webhooks - para transferir dados roubados para fora da rede comprometida. A escolha desses canais é deliberada: tráfego destinado a provedores como Google, Microsoft, GitHub ou Discord raramente é bloqueado por firewalls corporativos e se mistura naturalmente ao uso legítimo pelos funcionários. O diferencial desta técnica em relação a canais de exfiltração tradicionais é o uso de infraestrutura confiável e já presente na lista de domínios permitidos das organizações. Isso elimina a necessidade de o adversário manter domínios de C2 próprios que possam ser bloqueados por feeds de reputação de IP/domínio. A criptografia TLS nativa desses serviços adiciona uma camada extra de proteção, tornando a inspeção de conteúdo mais custosa para os defensores. Grupos como [[g0016-apt29|Cozy Bear]], [[g0007-apt28|APT28]], [[g0032-lazarus-group|Lazarus Group]] e [[g0059-magic-hound|Magic Hound]] utilizam variantes desta técnica de forma recorrente em operações de espionagem e crime financeiro. Ferramentas pós-exploração como [[s1171-oilcheck|OilCheck]], [[s0547-dropbook|DropBook]], [[s0622-appleseed|AppleSeed]], [[s1179-exbyte|Exbyte]] e [[s1245-invisibleferret|InvisibleFerret]] implementam exfiltração via web service de forma nativa, reduzindo o atrito operacional para os atores de ameaça. ## Como Funciona O fluxo de ataque segue quatro etapas principais. Primeiro, o adversário obtém acesso ao sistema-alvo - sejá via phishing, exploração de vulnerabilidade ou acesso inicial comprado. Em seguida, identifica e coleta os dados de interesse, frequentemente comprimindo e cifrando o material com ferramentas como `zip`, `7z` ou `rar` para reduzir volume e dificultar inspeção. Na terceira etapa, utiliza um cliente do serviço web (SDK, CLI nativa ou ferramenta como `rclone`, `curl`, `git push`) para autenticar-se no serviço e enviar os dados. Por fim, os dados chegam à infraestrutura controlada pelo adversário - uma conta de nuvem, um repositório privado ou um webhook - sem jámais sair dos domínios confiáveis da rede corporativa. A autenticação nos serviços é feita com tokens ou credenciais previamente roubadas ou criadas pelo próprio adversário. Em muitos casos, a conta utilizada é descartável - criada específicamente para a operação e abandonada após a exfiltração. O volume de dados transferidos pode ser controlado para evitar anomalias de tráfego: exfiltração fatiada em múltiplos uploads menores ao longo de horas ou dias é uma prática comum em operações de espionagem prolongadas. ## Attack Flow ```mermaid graph TB A[Acesso inicial ao sistema comprometido] --> B[Coleta e identificação de dados sensíveis] B --> C[Compressão e cifragem opcional dos dados] C --> D{Método de exfiltração escolhido} D --> E[T1567.001 - Repositório de código<br/>GitHub, GitLab, Bitbucket] D --> F[T1567.002 - Armazenamento em nuvem<br/>Google Drive, OneDrive, MEGA, S3] D --> G[T1567.003 - Sites de texto<br/>Pastebin, Hastebin] D --> H[T1567.004 - Webhook<br/>Discord, Slack, Teams] E --> I[Dados chegam à infraestrutura do adversário] F --> I G --> I H --> I I --> J[Exfiltração bem-sucedida via canal legítimo] ``` ## Exemplos de Uso **APT29 / Cozy Bear** - O grupo russo utiliza sistematicamente infraestrutura de nuvem legítima tanto para C2 quanto para exfiltração. Em campanhas documentadas, o APT29 utilizou APIs do OneDrive e do Google Drive para extrair documentos diplomáticos e de política externa, aproveitando-se do fato de que essas conexões são práticamente indistinguíveis de uso corporativo normal. A ferramenta [[s0547-dropbook|DropBook]] é um exemplo direto dessa abordagem. **APT28 / Fancy Bear** - Grupo de espionagem russo que combina spear-phishing com exfiltração via serviços web. Documentado utilizando webhooks e APIs de plataformas de colaboração para exfiltração furtiva em campanhas contra governos europeus e organizações da OTAN. **Lazarus Group** - O grupo norte-coreano usa plataformas de armazenamento em nuvem e repositórios de código para exfiltrar dados financeiros e de criptomoedas. Em campanhas como a [[g1052-contagious-interview|Contagious Interview]], a ferramenta [[s1245-invisibleferret|InvisibleFerret]] realiza exfiltração via APIs de serviços web populares após comprometer desenvolvedores via falsas entrevistas de emprego. **Magic Hound** - Grupo iraniano que utiliza a ferramenta [[s1171-oilcheck|OilCheck]] para exfiltrar dados via serviços legítimos de email e armazenamento. Documentado pelo MITRE ATT&CK com múltiplas campanhas de espionagem no Oriente Médio e contra diáspora iraniana. **BlackByte** - Grupo de ransomware que incorporou exfiltração via web service em sua cadeia de dupla extorsão, utilizando a ferramenta [[s1179-exbyte|Exbyte]] para enviar dados para infraestrutura de armazenamento antes de iniciar a cifragem dos sistemas comprometidos. ## Detecção ```yaml title: Detecção de Exfiltração via Web Service status: experimental logsource: category: proxy product: generic detection: selection_uploads: http.method: - 'POST' - 'PUT' http.uri|contains: - 'github.com' - 'gitlab.com' - 'bitbucket.org' - 'drive.google.com' - 'onedrive.live.com' - 'dropbox.com' - 'mega.nz' - 's3.amazonaws.com' - 'pastebin.com' - 'discord.com/api/webhooks' - 'hooks.slack.com' - 'webhook.office.com' filter_expected: http.referrer|contains: - 'internal-app' - 'approved-service' condition: selection_uploads and not filter_expected level: medium tags: - attack.exfiltration - attack.t1567 ``` **Estrategias adicionais de detecção:** - Monitorar volume anômalo de uploads para serviços de nuvem fora do horário comercial - Alertar em uploads de arquivos comprimidos (`.zip`, `.7z`, `.tar.gz`) para repositórios ou storage - Correlacionar uso de ferramentas CLI (`rclone`, `git`, `aws s3 cp`) com atividade de usuário inesperada - Inspecionar tráfego TLS com SSL inspection em gateways de proxy corporativo - Baselining comportamental: alertar quando volume de upload supera N% da média histórica por host ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | [[m1021-restrict-web-based-content\|M1021]] | Restrict Web-Based Content | Bloquear ou restringir acesso a serviços web não autorizados via proxy corporativo. Implementar allowlist de domínios aprovados para upload de dados. | | [[m1057-data-loss-prevention\|M1057]] | Data Loss Prevention | Implementar soluções de DLP com inspeção de conteúdo em tráfego de saída, incluindo SSL inspection. Alertar em transferências de dados sensíveis para destinos externos. | ## Contexto Brasil/LATAM A exfiltração via web service é particularmente relevante no contexto brasileiro e latino-americano por múltiplos fatores. Primeiramente, a adoção acelerada de plataformas de colaboração em nuvem (Microsoft 365, Google Workspace) por empresas e órgãos governamentais da região criou um ambiente onde tráfego para esses serviços é onipresente e raramente inspecionado com rigor. Grupos de ransomware ativos no Brasil - como os afiliados do LockBit, RansomHub e operadores locais - adotaram o modelo de dupla extorsão que requer exfiltração prévia à cifragem. Ferramentas como `rclone` foram identificadas em incidentes no setor financeiro e industrial brasileiro, com dados sendo enviados para buckets S3 ou contas de armazenamento antes do deploy do ransomware. O [[sources|CERT.br]] documenta regularmente campanhas de phishing contra empresas brasileiras que culminam em exfiltração de dados financeiros e de propriedade intelectual via plataformas como Google Drive e OneDrive. A ausência de SSL inspection em muitas organizações da região torna essa técnica especialmente eficaz. Setores como [[_sectors#financeiro|financeiro]], [[_sectors#governo|governo]] e [[_sectors#energia|energia]] são os mais visados. ## Referências - [[t1567-001-exfiltration-to-code-repository|T1567.001 - Exfiltration to Code Repository]] - [[t1567-002-exfiltration-cloud-storage|T1567.002 - Exfiltration to Cloud Storage]] - [[t1567-003-exfiltration-to-text-storage-sites|T1567.003 - Exfiltration to Text Storage Sites]] - [[t1567-004-exfiltration-over-webhook|T1567.004 - Exfiltration Over Webhook]] - [[g0016-apt29|Cozy Bear]] - [[g0007-apt28|APT28]] - [[g0032-lazarus-group|Lazarus Group]] - [[g0059-magic-hound|Magic Hound]] - [[g1043-blackbyte|BlackByte]] - [[m1021-restrict-web-based-content|M1021 - Restrict Web-Based Content]] - [[m1057-data-loss-prevention|M1057 - Data Loss Prevention]] - [[t1560-archive-collected-data|T1560 - Archive Collected Data]] - [[t1048-exfiltration-alternative-protocol|T1048 - Exfiltration Over Alternative Protocol]] - [[s1179-exbyte|Exbyte]] - [[s1245-invisibleferret|InvisibleFerret]] *Fonte: MITRE ATT&CK - T1567*