s0006-pwdump - RunkIntel

# pwdump > Tipo: **tool** · S0006 · [MITRE ATT&CK](https://attack.mitre.org/software/S0006) ## Descrição [[s0006-pwdump|pwdump]] é uma das ferramentas de extração de credenciais (credential dumper) mais antigas do arsenal ofensivo, existindo desde a década de 1990 em diversas versões (pwdump, pwdump2, pwdump3, pwdump4, pwdump6, pwdump7, fgdump). Originalmente desenvolvida para testes de recuperação de senhas, a ferramenta extrai hashes NTLM e LM da base de dados SAM (Security Account Manager) do Windows, injetando DLL nos processos de sistema para contornar a proteção do SAM. Em operações maliciosas, [[s0006-pwdump|pwdump]] foi amplamente utilizado por grupos como [[g0006-apt1|APT1]], [[g0087-apt39|APT39]], [[g0096-apt41|APT41]], [[g0045-apt10|menuPass]] e [[g0027-threat-group-3390|Threat Group-3390]] para coletar hashes de credenciais que são então usados em ataques Pass-the-Hash ou quebra offline de senhas. Embora ferramentas mais modernas como [[mimikatz|Mimikatz]] sejam hoje mais populares por sua versatilidade, o pwdump ainda é encontrado em incidentes por sua eficácia e simplicidade. A variante fgdump, que inclui capacidades para contornar produtos antivírus ativos, é frequentemente empregada em ambientes com soluções de segurança básicas. A longevidade do pwdump no arsenal de ameaças - abrangendo quase três décadas - demonstra que técnicas básicas de credential dumping permanecem eficazes mesmo em ambientes modernos quando controles como Credential Guard, LAPS e MFA não estão implementados adequadamente. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1003-002-security-account-manager|T1003.002 - Security Account Manager]] ## Grupos que Usam - [[g0087-apt39|APT39]] - [[g0045-apt10|menuPass]] - [[g0053-fin5|FIN5]] - [[g0096-apt41|APT41]] - [[g0006-apt1|APT1]] - [[g0027-threat-group-3390|Threat Group-3390]] ## Detecção **Fontes de dados recomendadas:** - **Sysmon Event ID 10 (ProcessAccess):** Acesso ao processo `lsass.exe` com GrantedAccess suspeito - pwdump injeta DLL em processos de sistema para acessar o SAM - **Sysmon Event ID 7 (ImageLoad):** DLL desconhecida carregada em processos `lsass.exe` ou `services.exe` - técnica de injeção usada pelo pwdump - **Windows Security Event ID 4625/4648:** Múltiplas falhas de autenticação ou logons com credenciais diferentes imediatamente após execução suspeita - indica uso dos hashes extraídos **Regras de detecção:** - Sigma: `proc_creation_win_hktl_pwdump.yml` - detecta execução de variantes de pwdump por hashes e nomes conhecidos (SigmaHQ) - EDR: Alerta para criação de arquivo `pwdump*.exe` ou `fgdump.exe` em qualquer localização do sistema ## Relevância LATAM/Brasil [[s0006-pwdump|pwdump]] e suas variantes continuam sendo detectadas em incidentes de segurança em organizações brasileiras, especialmente em ataques a PMEs e empresas de médio porte que utilizam Windows Server sem Credential Guard. Grupos como [[g0006-apt1|APT1]] e [[g0096-apt41|APT41]] - com histórico de espionagem industrial - e grupos de crime financeiro como [[g0053-fin5|FIN5]] utilizaram pwdump em fases de reconhecimento de credenciais. No Brasil, onde muitas empresas ainda operam servidores Windows sem LAPS e com senhas de administrador local padrão reutilizadas, o pwdump permanece uma ferramenta eficaz para comprometimento em cascata. ## Referências - [MITRE ATT&CK - S0006](https://attack.mitre.org/software/S0006)