s0119-cachedump - RunkIntel

# Cachedump > Tipo: **tool** · S0119 · [MITRE ATT&CK](https://attack.mitre.org/software/S0119) ## Descrição [[s0119-cachedump|Cachedump]] é uma ferramenta públicamente disponível que extrai hashes de credenciais de domínio em cache (Cached Domain Credentials) do registro do sistema Windows. O Windows armazena os últimos 10 hashes de logon de domínio no registro (`HKLM\SECURITY\Cache`) para permitir autenticação offline quando o Domain Controller não está acessível - mecanismo útil para laptops corporativos usados fora da rede. Adversários utilizam o Cachedump para extrair esses hashes em cache de sistemas comprometidos, especialmente em laptops ou workstations que fazem parte de um domínio. Embora esses hashes não possam ser usados diretamente para ataques Pass-the-Hash, podem ser submetidos a ataques de cracking offline para recuperar as senhas em texto plano. O [[g0006-apt1|APT1]] (Comment Crew) utilizou Cachedump extensivamente em suas operações de espionagem de longo prazo como método de coleta de credenciais persistente mesmo sem acesso ao Domain Controller. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1003-005-cached-domain-credentials|T1003.005 - Cached Domain Credentials]] ## Grupos que Usam - [[g0006-apt1|APT1]] ## Relevância LATAM/Brasil Credenciais em cache são um vetor relevante em organizações brasileiras onde laptops corporativos com Windows conectam a domínios Active Directory e frequentemente operam fora da rede corporativa (home office, campo). Campanhas de espionagem direcionadas a empresas de energia, mineração e governo brasileiro identificam workstations remotas como alvos primários justamente pela disponibilidade de cached credentials para cracking offline. O [[g0006-apt1|APT1]] demonstrou a eficácia desta técnica em campanhas de espionagem industrial de longa duração. ## Detecção **Fontes de dados recomendadas:** - **Sysmon Event ID 1 (ProcessCreaté):** Execução de `cachedump.exe` ou binários com IMPHASH correspondente; a ferramenta requer privilégios SYSTEM para acessar `HKLM\SECURITY` - **Windows Security Event ID 4673:** Acesso privilegiado com `SeSecurityPrivilege` ou `SeBackupPrivilege` - requeridos para leitura da hive SECURITY do registro - **Sysmon Event ID 12/13 (RegistryEvent):** Acesso de leitura a `HKLM\SECURITY\Cache` por processos não-SYSTEM ou por processos fora de `System32\` **Regras de detecção:** - Sigma: `win_susp_registry_cachedump.yml` - acesso ao registry path `HKLM\SECURITY\Cache` por processos suspeitos (SigmaHQ) - Sigma: `proc_creation_win_credential_dumping_tools.yml` - detecção de binários de credential dumping conhecidos incluindo Cachedump ## Referências Adicionais - [MITRE ATT&CK - S0119](https://attack.mitre.org/software/S0119) - [Mandiant APT1 Report - Credential Collection Techniques](https://www.mandiant.com/resources/apt1-exposing-one-of-chinas-cyber-espionage-units) - 2013 (referência histórica fundamental)