s0194-powersploit - RunkIntel

# PowerSploit > Tipo: **tool** · S0194 · [MITRE ATT&CK](https://attack.mitre.org/software/S0194) ## Descrição [[s0194-powersploit|PowerSploit]] é um framework de segurança ofensiva open source, desenvolvido pela comunidade de segurança e mantido no GitHub, composto por módulos PowerShell que cobrem todas as fases do ciclo de ataque: Code Execution, Scriptmodification, Persistence, Privilege Escalation, Recon e Exfiltration. Embora o repositório principal não receba mais atualizações ativas, os módulos continuam amplamente utilizados pela comunidade de red team e por atores maliciosos. Grupos como [[g0064-apt33|APT33]], [[g0096-apt41|APT41]], [[ta505|TA505]], [[g0046-fin7|FIN7]] e [[g0069-mango-sandstorm|MuddyWater]] incorporaram módulos do PowerSploit em suas cadeia de ataque. Os módulos mais abusados incluem `Invoke-Mimikatz` (dump de credenciais), `Invoke-ReflectivePEInjection` (injeção de PE em memória sem escrita em disco), `Get-GPPPassword` (senhas em Group Policy Preferences), `Find-LocalAdminAccess` (descoberta de acesso de admin local) e `PowerUp` (escalada de privilégios local). A capacidade de execução de código inteiramente em memória (fileless) é o principal diferencial do PowerSploit para evasão de antivírus. A execução de PowerSploit normalmente ocorre via `powershell -EncodedCommand` ou `IEX (New-Object Net.WebClient).DownloadString()` para evitar gravação em disco. Com PowerShell Script Block Logging e AMSI habilitados, a detecção melhora significativamente - mas atores sofisticados usam técnicas de obfuscação e AMSI bypass que são constantemente atualizadas para contornar essas defesas. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1574-007-path-interception-by-path-environment-variable|T1574.007 - Path Interception by PATH Environment Variable]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1620-reflective-code-loading|T1620 - Reflective Code Loading]] - [[t1552-002-credentials-in-registry|T1552.002 - Credentials in Registry]] - [[t1027-005-indicator-removal-from-tools|T1027.005 - Indicator Removal from Tools]] - [[t1123-audio-capture|T1123 - Audio Capture]] - [[t1047-windows-management-instrumentation|T1047 - Windows Management Instrumentation]] - [[t1574-009-path-interception-by-unquoted-path|T1574.009 - Path Interception by Unquoted Path]] - [[t1012-query-registry|T1012 - Query Registry]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1552-006-group-policy-preferences|T1552.006 - Group Policy Preferences]] - [[t1055-001-dynamic-link-library-injection|T1055.001 - Dynamic-link Library Injection]] - [[t1027-010-command-obfuscation|T1027.010 - Command Obfuscation]] - [[t1134-access-token-manipulation|T1134 - Access Token Manipulation]] - [[t1543-003-windows-service|T1543.003 - Windows Service]] ## Grupos que Usam - [[g0064-apt33|APT33]] - [[g1006-earth-lusca|Earth Lusca]] - [[g0096-apt41|APT41]] - [[g0069-mango-sandstorm|MuddyWater]] - [[g0046-fin7|FIN7]] - [[g0045-apt10|menuPass]] - [[g0065-leviathan|Leviathan]] - [[ta505|TA505]] - [[g0040-patchwork|Patchwork]] ## Detecção **Fontes de dados recomendadas:** - **Windows Event ID 4104 (PowerShell Script Block Logging):** Conteúdo de scripts com nomes de funções PowerSploit: `Invoke-Mimikatz`, `Invoke-ReflectivePEInjection`, `Invoke-Shellcode`, `Get-GPPPassword`, `PowerUp`, `Find-LocalAdminAccess` - **AMSI:** Detecção de strings de PowerSploit via Windows AMSI (Antimalware Scan Interface) - habilitado por padrão no Windows 10/11 e produtos AV modernos - **Sysmon Event ID 1:** PowerShell com `-EncodedCommand` ou `-WindowStyle Hidden -NoProfile -ExecutionPolicy Bypass` iniciado por processos inesperados **Regras de detecção:** - Sigma: `proc_creation_win_powershell_powersploit.yml` - detecta comandos e parâmetros de módulos PowerSploit (SigmaHQ) - Sigma: `posh_ps_powersploit_script.yml` - detecta funções PowerSploit em Script Block Logs (SigmaHQ) - YARA: Strings de módulos PowerSploit em scripts `.ps1` e `.psm1` em locais temporários ## Relevância LATAM/Brasil [[s0194-powersploit|PowerSploit]] é amplamente empregado em ataques contra organizações brasileiras. [[ta505|TA505]], grupo com histórico de campanhas de spam e distribuição de malware no Brasil (incluindo o banker Dridex e o ransomware Clop), integra módulos PowerSploit em fases de pós-comprometimento. [[g0069-mango-sandstorm|MuddyWater]] também utilizou módulos PowerSploit em campanhas que potencialmente afetam parceiros comerciais brasileiros no Oriente Médio. A prevalência de ambientes Windows corporativos no Brasil, frequentemente com PowerShell Script Block Logging desabilitado, amplifica a eficácia do PowerSploit como ferramenta de evasão. ## Referências - [MITRE ATT&CK - S0194](https://attack.mitre.org/software/S0194)