Back to hub

Data Staging via Archive Tools

Detects use of compression utilities (7z, rar, zip) to package large volumes of data — a pre-exfiltration staging indicator.

EDRsofisticexfiltrationmedioT1560.001archivestaging7ziprarT1560.001
FDR Beginnerby SOFISTIC SOC 1 min read

Query

#event_simpleName=ProcessRollup2 FileName=/(7z|7za|rar|winrar|zip|tar|makecab)\.exe/i CommandLine=/(\\Users\\|\\Shares\\|\\Documents\\|\\Desktop\\|-p|-r)/i | groupBy([ComputerName, UserName, FileName, CommandLine], function=count()) | _count > 3 | sort(_count, limit=20)

Explanation

  • Detecta herramientas de compresión accediendo a directorios de usuario o shares de red, patrón típico de data staging pre-exfiltración.
  • El flag -p indica compresión con contraseña (técnica para evadir inspección DLP).
  • El flag -r indica compresión recursiva de directorios, útil para empaquetar volúmenes grandes.
  • Combina dos condiciones para cruzar la herramienta con la acción sospechosa.

Adjustable Variables

  • Rutas: Ajusta a las rutas de datos sensibles de tu organización: \\Shares\Finance\, \\Shares\HR\.
  • Flag `-p`: Solo este flag ya es suficiente para alertar; considera separar en una regla de alta severidad.
  • Umbral `_count > 3`: Reduce en entornos donde el archivado masivo no es operación habitual.