s0488-crackmapexec

# CrackMapExec > Tipo: **tool** · S0488 · [MITRE ATT&CK](https://attack.mitre.org/software/S0488) ## Descrição [[s0488-crackmapexec|CrackMapExec]] (CME) é uma ferramenta de pós-exploração e avaliação de segurança de redes Windows desenvolvida em Python, projetada para pentesters e red teams. Permite operações em lote contra múltiplos hosts Windows/Active Directory simultaneamente: enumeração de usuários e grupos, execução remota de comandos via SMB/WMI, password spraying, dump de credenciais (SAM, LSASS, NTDS), verificação de compartilhamentos e execução de módulos especializados. É frequentemente descrita como um "canivete suíço" para redes Windows. Em contextos maliciosos, CrackMapExec é uma das ferramentas mais utilizadas na fase de movimentação lateral e enumeração de redes corporativas. Sua capacidade de executar operações em paralelo contra toda uma faixa de IPs permite que adversários mapeiem rapidamente o ambiente Active Directory, identifiquem sistemas vulneráveis a Pass-the-Hash e realizem spray de senhas automatizado contra múltiplos hosts. Grupos como [[g0087-apt39|APT39]], [[g0046-fin7|FIN7]], [[g1003-ember-bear|Ember Bear]], [[g0035-dragonfly|Dragonfly]] e [[g0069-mango-sandstorm|MuddyWater]] utilizam CME em suas operações de movimentação lateral. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1003-002-security-account-manager|T1003.002 - Security Account Manager]] - [[t1003-003-ntds|T1003.003 - NTDS]] - [[t1110-003-password-spraying|T1110.003 - Password Spraying]] - [[t1201-password-policy-discovery|T1201 - Password Policy Discovery]] - [[t1087-002-domain-account|T1087.002 - Domain Account]] - [[t1049-system-network-connections-discovery|T1049 - System Network Connections Discovery]] - [[t1110-001-password-guessing|T1110.001 - Password Guessing]] - [[t1053-002-at|T1053.002 - At]] - [[t1135-network-share-discovery|T1135 - Network Share Discovery]] - [[t1018-remote-system-discovery|T1018 - Remote System Discovery]] - [[t1003-004-lsa-secrets|T1003.004 - LSA Secrets]] - [[t1047-windows-management-instrumentation|T1047 - Windows Management Instrumentation]] - [[t1112-modify-registry|T1112 - Modify Registry]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1550-002-pass-the-hash|T1550.002 - Pass the Hash]] ## Grupos que Usam - [[g0087-apt39|APT39]] - [[g0046-fin7|FIN7]] - [[g1003-ember-bear|Ember Bear]] - [[g0035-dragonfly|Dragonfly]] - [[g0069-mango-sandstorm|MuddyWater]] ## Relevância LATAM/Brasil CrackMapExec é amplamente observado em incidentes de ransomware que afetam organizações brasileiras. A combinação de password spraying ([[t1110-003-password-spraying|T1110.003]]) e Pass-the-Hash ([[t1550-002-pass-the-hash|T1550.002]]) contra o Active Directory é especialmente eficaz em ambientes brasileiros onde políticas de senha fracas e reutilização de credenciais são comuns. O [[g0035-dragonfly|Dragonfly]], ativo contra setor de energia e infraestrutura crítica, e o [[g0069-mango-sandstorm|MuddyWater]] utilizam CME em campanhas com alvos na América Latina. Em 2024, investigações de IR no Brasil identificaram CME como ferramenta de movimentação lateral em comprometimentos de redes corporativas de médio porte. ## Detecção **Fontes de dados recomendadas:** - **Windows Security Event ID 4625 (Logon Failed) em volume:** Múltiplas falhas de autenticação em vários hosts em curto período - padrão de password spraying do CME - **Windows Security Event ID 4624 Tipo 3 (Network Logon):** Autenticações SMB bem-sucedidas em múltiplos hosts em sequência rápida do mesmo IP de origem - movimentação lateral via CME - **Sysmon Event ID 3 (NetworkConnect):** Conexões SMB (porta 445) em burst para múltiplos hosts - característico de enumeração em massa do CME - **Windows Event ID 5145:** Acesso a compartilhamento `IPC

+ criação de service (`7045`) - padrão de execução remota via CME smb --exec-method **Regras de detecção:** - Sigma: `win_susp_crackmapexec_execution.yml` - padrões de eventos de autenticação e acesso de rede característicos de CME (SigmaHQ) - Splunk: `TA-crackmapexec-detection` - conjunto de correlações para detecção de CME operations - Elastic: `lateral_movement_via_smb_execution` - detecção de movimentação lateral via SMB incluindo CME ## Referências Adicionais - [MITRE ATT&CK - S0488](https://attack.mitre.org/software/S0488) - [SigmaHQ - CrackMapExec Detection](https://github.com/SigmaHQ/sigma) - 2024 - [The DFIR Report - CrackMapExec in Ransomware Pre-Stage](https://thedfirreport.com/) - múltiplos relatórios documentando CME em cadeias de ransomware