s0029-psexec - RunkIntel

# PsExec > [!danger] LOLBin de Execução Remota - Movimento Lateral Clássico > Ferramenta oficial Microsoft Sysinternals para execução remota via SMB - usada por práticamente todos os grupos APT e ransomware para movimento lateral. Presença inesperada de `PSEXESVC` em logs é indicador crítico de comprometimento ativo. ## Visão Geral **PsExec** é uma ferramenta de administração remota da suíte **Microsoft Sysinternals**. Permite executar processos em sistemas Windows remotos via SMB (porta 445), copiando temporariamente um serviço (`psexesvc.exe`) ao host alvo e executando comandos no contexto desse serviço - frequentemente com privilégios SYSTEM. Legitimamente usada por administradores de TI para gerenciar múltiplos servidores, o PsExec é simultaneamente uma das ferramentas mais abusadas em incidentes de segurança. O [[g0102-conti-group|Wizard Spider]] (operadores de Conti/Ryuk), [[g0006-apt1|APT1]] e o [[g0034-sandworm|Sandworm Team]] (NotPetya) utilizaram PsExec como mecanismo central de movimento lateral e deploy de payloads destrutivos. **Plataformas:** Windows ## Como Funciona O PsExec opera sobre SMB em quatro etapas: 1. Conecta ao compartilhamento `ADMIN

via SMB com credenciais fornecidas 2. Copia `psexesvc.exe` para `C:\Windows\` no host remoto 3. Registra e inicia o serviço `PSEXESVC` no host remoto 4. Executa o comando e retorna output via named pipe `\pipe\psexecsvc` O flag `/s` executa no contexto SYSTEM - mais privilegiado que qualquer conta de usuário. ## Uso Ofensivo ```mermaid graph TB A["🔑 Credenciais comprometidas hash NTLM ou senha admin"] --> B["📁 Conexão SMB \\\\alvo\\ADMINquot;] B --> C["📤 Upload psexesvc.exe para C:\\Windows\\"] C --> D["⚙️ Serviço PSEXESVC registrado e iniciado"] D --> E["▶️ Comando executado contexto SYSTEM"] E --> F["📥 Output retornado pipe \\psexecsvc"] F --> G["🗑️ Serviço removido limpeza automática"] ``` **Ransomware deploy em escala:** ```mermaid graph TB A["👑 Domain Admin comprometido via Mimikatz"] --> B["📋 Scan de hosts todos ativos no AD"] B --> C["🚀 psexec \\\\* /s ransomware.exe execução em todos os hosts"] C --> D["💥 Criptografia simultânea toda a organização em minutos"] D --> E["🔒 Impacto máximo antes da detecção"] ``` ## TTPs | ID | Nome | Uso pelo PsExec | |----|------|----------------| | [[t1569-002-service-execution\|T1569.002]] | Service Execution | Instala serviço temporário `PSEXESVC` para execução remota | | [[t1021-002-smb-windows-admin-shares\|T1021.002]] | SMB Admin Shares | Utiliza `ADMIN

para copiar binário ao host remoto | | [[t1570-lateral-tool-transfer\|T1570]] | Lateral Tool Transfer | Transfere ferramentas de ataque entre hosts comprometidos | ## Atores que Utilizam - [[g0006-apt1|APT1]] - espionagem industrial de longo prazo (2006-2014) - [[g0102-conti-group|Wizard Spider]] - ransomware Ryuk/Conti deploy - [[g0034-sandworm|Sandworm Team]] - NotPetya propagação global - [[g1017-volt-typhoon|Volt Typhoon]] - espionagem em infraestrutura crítica - [[g0046-fin7|FIN7]] - comprometimento de varejo e hospitality ## Relevância LATAM/Brasil O PsExec está presente em práticamente todos os incidentes de ransomware com impacto em organizações brasileiras. Grupos como [[g0102-conti-group|Wizard Spider]] (Conti) e [[lockbit-group|LockBit]] utilizam PsExec após obter credenciais Domain Admin para executar o ransomware simultaneamente em centenas de sistemas - maximizando o impacto antes que a equipe de segurança possa intervir. A detecção de `PSEXESVC` criado fora do horário de trabalho ou em sistemas não gerenciados centralmente deve ser tratada como incidente ativo. ## Detecção **Indicadores de comprometimento:** - Serviço `PSEXESVC` criado rapidamente e deletado em hosts não gerenciados via PsExec - Arquivo `psexesvc.exe` copiado para `C:\Windows\` a partir de workstation - Múltiplos hosts com `PSEXESVC` ativo simultaneamente (deploy em escala) **Fontes de dados:** - **Windows Event ID 7045:** Instalação do serviço `PSEXESVC` - alertar em horários e sistemas suspeitos - **Windows Security 4624 + 5140:** Logon de rede em `ADMIN

seguido de criação de serviço - **Sysmon ID 1:** Processo iniciado por `psexesvc.exe` - investigar o comando executado **Regras de detecção:** - Sigma: `proc_creation_win_sysinternals_psexec.yml` (SigmaHQ) - Sigma: `win_security_susp_admin_share_access.yml` - acesso suspeito ao `ADMIN

## Referências - [1](https://attack.mitre.org/software/S0029) MITRE ATT&CK - S0029 PsExec (2024) - [2](https://learn.microsoft.com/en-us/sysinternals/downloads/psexec) Microsoft Sysinternals - PsExec Documentation - [3](https://thedfirreport.com/2021/07/19/from-word-to-lateral-movement-in-1-hour/) The DFIR Report - PsExec em cadeia ransomware (2021)