s0008-gsecdump - RunkIntel

# gsecdump > Tipo: **tool** · S0008 · [MITRE ATT&CK](https://attack.mitre.org/software/S0008) ## Descrição [[s0008-gsecdump|gsecdump]] é uma ferramenta de credential dumping públicamente disponível, desenvolvida pela TrueSec AB, utilizada para extrair hashes de senhas NTLM do banco de dados SAM (Security Account Manager) e segredos LSA (Local Security Authority) de sistemas operacionais Windows. A ferramenta também suporta extração de Active Directory via VSS (Volume Shadow Service) e acesso à memória do processo LSASS para recuperação de credenciais em texto claro. Em contextos maliciosos, gsecdump foi amplamente utilizado antes da popularização do [[mimikatz|Mimikatz]], e ainda é encontrado em campanhas de grupos com TTPs mais antigos. Grupos como [[g0006-apt1|APT1]] (Comment Crew), [[g0027-threat-group-3390|Threat Group-3390]], [[g0131-tonto-team|Tonto Team]] e [[g0060-bronze-butler|BRONZE BUTLER]] utilizaram gsecdump em operações de espionagem de longo prazo. Os hashes coletados são usados para ataques de Pass-the-Hash ou cracking offline para recuperar senhas em texto claro, permitindo autenticação em outros sistemas da rede. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1003-002-security-account-manager|T1003.002 - Security Account Manager]] - [[t1003-004-lsa-secrets|T1003.004 - LSA Secrets]] ## Grupos que Usam - [[g0027-threat-group-3390|Threat Group-3390]] - [[g0006-apt1|APT1]] - [[g0011-pittytiger|PittyTiger]] - [[g0131-tonto-team|Tonto Team]] - [[g0060-bronze-butler|BRONZE BUTLER]] ## Relevância LATAM/Brasil O [[g0006-apt1|APT1]] (Comment Crew), vinculado à unidade 61398 do PLA chinês, realizou operações de espionagem industrial de longa duração com o objetivo de roubar propriedade intelectual de empresas ocidentais e de países emergentes - incluindo setores manufatureiro, aeroespacial e tecnológico com presença significativa no Brasil. O [[g0131-tonto-team|Tonto Team]] e o [[g0060-bronze-butler|BRONZE BUTLER]], também com nexo chinês, têm histórico de alvos em empresas jáponesas com subsidiárias na América Latina, relevante para o contexto brasileiro. ## Detecção **Fontes de dados recomendadas:** - **Sysmon Event ID 10 (ProcessAccess):** Acesso a `lsass.exe` com flags característicos de credential dumping (`PROCESS_VM_READ`, `PROCESS_QUERY_INFORMATION`) - **Sysmon Event ID 1 (ProcessCreaté):** Execução de `gsecdump.exe` ou binário com IMPHASH correspondente; monitorar criação de arquivo de saída com hashes em diretório corrente - **Windows Security Event ID 4673:** Acesso privilegiado com `SeDebugPrivilege` - requerido para acesso à memória LSASS **Regras de detecção:** - Sigma: `proc_creation_win_credential_dumping_tools.yml` - assinaturas de ferramentas de credential dumping conhecidas incluindo gsecdump (SigmaHQ) - YARA: `windows_hacktool_gsecdump` - assinaturas de strings do binário gsecdump ## Referências Adicionais - [MITRE ATT&CK - S0008](https://attack.mitre.org/software/S0008) - [Mandiant APT1 - Tools Including gsecdump](https://www.mandiant.com/resources/apt1-exposing-one-of-chinas-cyber-espionage-units) - 2013