s0349-lazagne - RunkIntel

# LaZagne > Tipo: **tool** · S0349 · [MITRE ATT&CK](https://attack.mitre.org/software/S0349) ## Descrição [[s0349-lazagne|LaZagne]] é uma ferramenta open-source de pós-exploração utilizada para recuperar senhas armazenadas em um sistema. Possui módulos para Windows, Linux e OSX, com foco principal em sistemas Windows. O [[s0349-lazagne|LaZagne]] está disponível públicamente no GitHub. **Plataformas:** Linux, macOS, Windows ## Técnicas Utilizadas - [[t1552-001-credentials-in-files|T1552.001 - Credentials In Files]] - [[t1555-004-windows-credential-manager|T1555.004 - Windows Credential Manager]] - [[t1003-004-lsa-secrets|T1003.004 - LSA Secrets]] - [[t1003-008-etcpasswd-and-etcshadow|T1003.008 - /etc/passwd and /etc/shadow]] - [[t1555-003-credentials-from-web-browsers|T1555.003 - Credentials from Web Browsers]] - [[t1003-001-lsass-memory|T1003.001 - LSASS Memory]] - [[t1003-005-cached-domain-credentials|T1003.005 - Cached Domain Credentials]] - [[t1555-credentials-from-password-stores|T1555 - Credentials from Password Stores]] - [[t1555-001-keychain|T1555.001 - Keychain]] - [[t1003-007-proc-filesystem|T1003.007 - Proc Filesystem]] ## Grupos que Usam - [[g0077-leafminer|Leafminer]] - [[g0102-conti-group|Wizard Spider]] - [[g0022-apt3|APT3]] - [[g1015-scattered-spider|Scattered Spider]] - [[g0049-oilrig|OilRig]] - [[g0069-mango-sandstorm|MuddyWater]] - [[g0100-inception-framework|Inception]] - [[g0064-apt33|APT33]] - [[g0139-teamtnt|TeamTNT]] - [[g0131-tonto-team|Tonto Team]] ## Relevância LATAM/Brasil **Relevância LATAM/Brasil:** Brasil foi o país mais afetado na América Latina em 2024–2025, com mais de 70 ofertas de acesso inicial registradas e concentração de ataques nos setores de varejo, agricultura, telecomúnicações e governo - todos alvos típicos de LaZagne. Grupos como o [[g1015-scattered-spider|Scattered Spider]] e [[g0102-conti-group|Wizard Spider]] usam LaZagne em suas cadeias de ataque. O [[g0139-teamtnt|TeamTNT]] - grupo de cryptojacking com operações ativas em cloud - utiliza LaZagne para extrair credenciais AWS/GCP de instâncias Linux comprometidas, incluindo infraestrutura hospedada no Brasil. Em 2025, atores atribuídos à China (Aquatic Panda) e Coreia do Norte realizaram campanhas de roubo de credenciais na América Latina, com LaZagne compatível com seus TTPs. ## Detecção **Fontes de dados recomendadas:** - **Windows Security Event ID 4688 / Sysmon Event ID 1 (ProcessCreaté):** Execução de `lazagne.exe` ou binário com IMPHASH correspondente; monitorar módulos como `all`, `browsers`, `windows`, `sysadmin` na linha de comando - **Sysmon Event ID 10 (ProcessAccess):** Acesso a `lsass.exe` com GrantedAccess `0x0010` (PROCESS_VM_READ) + `0x0400` (PROCESS_QUERY_INFORMATION) - LaZagne tentando dump de LSASS memory - **Sysmon Event ID 11 (FileCreaté) correlacionado com ProcessCreaté:** Criação de arquivos de output JSON (dump de credenciais) em diretórios temporários dentro de minutos após execução - **File Access Pattern:** Acesso sequencial rápido a múltiplos credential stores (Chrome `Login Data`, `Cookies`, PuTTY registry keys, WinSCP config) por um único processo - padrão comportamental único do LaZagne **Regras de detecção:** - Sigma: `proc_creation_win_hktl_lazagne.yml` - nome do processo `lazagne.exe` + IMPHASH `ba5546933531fafa869b1f86a4e2a959` e outros conhecidos (SigmaHQ) - Elastic: `detect_credential_access` - behavioral rule monitorando acesso a múltiplos credential stores em jánela de 1 minuto por processo único - Sigma: `win_susp_lsass_access.yml` - correlação com ProcessAccess em lsass.exe com access masks característicos de credential dumping ## Referências Adicionais - [MITRE ATT&CK - S0349](https://attack.mitre.org/software/S0349) - [SigmaHQ - LaZagne Execution Detection](https://detection.fyi/sigmahq/sigma/windows/process_creation/proc_creation_win_hktl_lazagne/) - 2024 - [Elastic Security - Detect Credential Access via LaZagne](https://www.elastic.co/de/security-labs/detect-credential-access) - 2024 - [Industrial Cyber - Latin América Ransomware Report 2025](https://industrialcyber.co/reports/latin-america-sees-sharp-rise-in-ransomware-hacktivist-attacks-in-2025-amid-expanding-fraud-and-phishing-threats/) - 2025