# Fgdump > Tipo: **tool** · S0120 · [MITRE ATT&CK](https://attack.mitre.org/software/S0120) ## Descrição [[s0120-fgdump|Fgdump]] é uma ferramenta públicamente disponível para extração (dump) de hashes de senhas do Windows, desenvolvida como melhoria em relação ao pwdump. A ferramenta extrai hashes NTLM e LM do Security Account Manager (SAM) do Windows, incluindo suporte para contornar soluções de antivírus ativas no momento do dump (desabilitando temporariamente o AV antes da extração). Também captura credenciais protegidas via Protected Storage. Em contextos maliciosos, Fgdump é uma das ferramentas de credential dumping clássicas - embora em grande parte substituída pelo [[mimikatz|Mimikatz]] em operações modernas. Permanece relevante em avaliações de sistemas Windows legados onde Mimikatz pode ser detectado por regras de YARA mais difundidas. Os hashes extraídos pelo Fgdump são usados para ataques offline de cracking de senha ou para Pass-the-Hash em redes Windows com autenticação NTLMv1/NTLMv2. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1003-002-security-account-manager|T1003.002 - Security Account Manager]] ## Relevância LATAM/Brasil Fgdump continua sendo encontrado em incidentes em organizações com infraestrutura Windows legada no Brasil - especialmente órgãos públicos e PMEs que ainda operam Windows Server 2008/2012. Sua capacidade de desabilitar AV temporariamente antes do dump o torna eficaz em ambientes com antivírus desatualizados, comuns nesse segmento. Em campanhas de cibercrime financeiro no Brasil, ferramentas de credential dumping como Fgdump são usadas para coletar credenciais de estações bancárias e sistemas de pagamento. ## Detecção **Fontes de dados recomendadas:** - **Sysmon Event ID 1 (ProcessCreaté):** Execução de `fgdump.exe` ou binário com IMPHASH correspondente; monitorar criação de arquivos de saída como `127.0.0.1.pwdump` no diretório atual - **Sysmon Event ID 10 (ProcessAccess):** Acesso a `lsass.exe` com GrantedAccess característico de credential dumping - **Windows Security Event ID 4688:** Processo de fgdump gerando processos filhos para desabilitar serviços de AV **Regras de detecção:** - Sigma: `proc_creation_win_credential_dumping_tools.yml` - hashes e nomes conhecidos de ferramentas de credential dumping (SigmaHQ) - YARA: `windows_hacktool_fgdump` - assinaturas de strings internas do Fgdump ## Referências Adicionais - [MITRE ATT&CK - S0120](https://attack.mitre.org/software/S0120) - [SigmaHQ - Credential Dumping Tools](https://github.com/SigmaHQ/sigma) - 2024