# NPPSPY > Tipo: **tool** · S1131 · [MITRE ATT&CK](https://attack.mitre.org/software/S1131) ## Descrição NPPSPY é uma implementação de prova de conceito de um mecanismo de captura de credenciais baseado na API Network Provider do Windows, documentado teoricamente em 2004 e reimplementado públicamente como PoC. A API Network Provider foi projetada para permitir que provedores de rede (como SMB, Novell NetWare) recebam notificações de eventos de autenticação - incluindo o nome de usuário e a senha em texto claro - para autenticação em recursos de rede. Em contexto malicioso, NPPSPY registra uma DLL como um Network Provider legítimo no registro do Windows, interceptando todas as credenciais submetidas durante o processo de logon do Windows. As credenciais são gravadas em um arquivo de texto no disco para exfiltração posterior. Diferente de outras técnicas de dumping que requerem acesso ao LSASS, o NPPSPY opera no nível da API antes da criptografia, obtendo senhas em texto plano mesmo em ambientes com Credential Guard habilitado. A técnica é particularmente insidiosa por modificar apenas uma chave de registro e uma DLL, sem injetar código em processos do sistema. A detecção requer monitoramento específico de chaves de registro relacionadas a Network Providers e execução de DLLs incomuns registradas como provedores de autenticação. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1112-modify-registry|T1112 - Modify Registry]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1557-adversary-in-the-middle|T1557 - Adversary-in-the-Middle]] - [[t1552-unsecured-credentials|T1552 - Unsecured Credentials]] - [[t1056-input-capture|T1056 - Input Capture]] - [[t1119-automated-collection|T1119 - Automated Collection]] - [[t1656-impersonation|T1656 - Impersonation]] ## Detecção **Fontes de dados recomendadas:** - **Windows Registry Event (Sysmon ID 13):** Monitorar criação/modificação em `HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order` e subchaves - indica registro de novo Network Provider - **Sysmon Event ID 7 (ImageLoad):** DLL não reconhecida carregada pelo processo `winlogon.exe` como Network Provider - **Auditoria de arquivos:** Criação de arquivos de texto em locais comuns usados pelo NPPSPY para gravar credenciais (ex: `C:\Windows\Temp\`, `%APPDATA%`) **Regras de detecção:** - Sigma: `registry_set_network_provider_new.yml` - detecta registro de novo Network Provider no Windows (SigmaHQ) - YARA: Buscar DLLs com exports de Network Provider (`NPLogonNotify`, `NPPasswordChangeNotify`) não assinadas por vendors legítimos ## Relevância LATAM/Brasil Embora NPPSPY sejá uma PoC pública sem atribuição específica a grupos ativos na América Latina, a técnica de Network Provider abuse representa risco significativo em ambientes corporativos brasileiros onde Credential Guard não está amplamente implementado. Organizações financeiras e governamentais no Brasil que ainda operam Windows Server 2012/2016 sem hardening adequado são candidatas vulneráveis. A ausência de monitoramento de registro para chaves de Network Provider em muitos SOCs brasileiros torna esta técnica difícil de detectar. Times de purple team e red teams nacionais têm incorporado NPPSPY em simulações de ataque avançado para testar cobertura de detecção. ## Referências - [MITRE ATT&CK - S1131](https://attack.mitre.org/software/S1131)