psexec - RunkIntel

# PsExec > Tipo: **tool** · S0029 · [MITRE ATT&CK](https://attack.mitre.org/software/S0029) ## Descrição [[psexec|PsExec]] é uma ferramenta gratuita da Microsoft que permite executar programas em computadores remotos. É amplamente utilizada por administradores de TI e também por atacantes. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1021-002-smbwindows-admin-shares|T1021.002 - SMB/Windows Admin Shares]] - [[t1543-003-windows-service|T1543.003 - Windows Service]] - [[t1570-lateral-tool-transfer|T1570 - Lateral Tool Transfer]] - [[t1569-002-service-execution|T1569.002 - Service Execution]] - [[t1136-002-domain-account|T1136.002 - Domain Account]] ## Grupos que Usam - [[g1017-volt-typhoon|Volt Typhoon]] - [[g0010-turla|Turla]] - [[g0114-chimera|Chimera]] - [[g0006-apt1|APT1]] - [[g0076-thrip|Thrip]] - [[g1009-moses-staff|Moses Staff]] - [[g0098-blacktech|BlackTech]] - [[g0003-cleaver|Cleaver]] - [[g0105-darkvishnya|DarkVishnya]] - [[g1032-inc-ransom|INC Ransom]] ## Relevância LATAM/Brasil **Relevância LATAM/Brasil:** PsExec é amplamente abusado por operadores de ransomware e APTs que visam organizações na América Latina. O [[g1017-volt-typhoon|Volt Typhoon]] e o [[g1032-inc-ransom|INC Ransom]] - grupo com vítimas registradas no Brasil - utilizam PsExec para movimento lateral e execução remota em redes comprometidas. Em 2024–2025, grupos como Akira, Play e INC Ransom ativos no Brasil incorporam PsExec como ferramenta de pivotamento após obtenção de credenciais com [[mimikatz|Mimikatz]] ou [[s0357-impacket|Impacket]]. ## Detecção **Fontes de dados recomendadas:** - **Windows System Event ID 7045:** "New service was installed" - PsExec cria serviço temporário `PSEXESVC` (ou nome aleatório com `-r`) no sistema remoto - **Windows Security Event ID 4624 / 4648:** Logon do tipo 3 (rede) seguido de criação de serviço indica uso de PsExec para execução remota - **Sysmon Event ID 11 (FileCreaté):** Arquivo `psexesvc.exe` ou executável aleatório depositado em `ADMIN

ou `C

- **Sysmon Event ID 3 (NetworkConnect):** Conexões SMB (porta 445) precedendo criação de serviço em sistemas remotos **Regras de detecção:** - Sigma: `proc_creation_win_sysinternals_psexec.yml` - detecta execução de PsExec com parâmetros típicos de abuso (`-s`, `-accepteula`, `-d`) (SigmaHQ) - Sigma: `sysmon_psexec_network_connect.yml` - correlação de conexão SMB + service creation no host remoto - Event Correlation: Event ID 7045 com nome de serviço `PSEXESVC` + Event ID 4624 logon tipo 3 no mesmo host/timeframe ## Referências Adicionais - [MITRE ATT&CK - S0029](https://attack.mitre.org/software/S0029) - [SigmaHQ - PsExec Detection Rules](https://github.com/SigmaHQ/sigma/blob/master/rules/windows/process_creation/proc_creation_win_sysinternals_psexec.yml) - 2024 - [The DFIR Report - PsExec in Ransomware Intrusions](https://thedfirreport.com) - referência de investigações 2024–2025 - [CISA AA24-131A - Black Basta Ransomware Uses PsExec](https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-131a) - 2024-05-10