psexec - RunkIntel

# PsExec > [!danger] LOLBin de Movimento Lateral - Omnipresente em Incidentes > Ferramenta oficial da Microsoft Sysinternals para execução remota de processos via SMB. Uma das ferramentas mais abusadas para movimento lateral por práticamente todos os grupos APT e operadores de ransomware. O PsExec é tão comum em incidentes que sua presença em logs suspeitos deve ser investigada imediatamente. ## Visão Geral **PsExec** é uma ferramenta de administração remota da suite **Microsoft Sysinternals**, criada por Mark Russinovich. Permite execução de processos em sistemas Windows remotos via SMB (porta 445/139) sem necessidade de instalar um cliente específico - o binário `psexesvc.exe` é copiado para o host remoto e registrado como serviço temporário. Administradores de TI utilizam o PsExec legitimamente para executar comandos em múltiplos servidores, fazer deploy de software, e realizar manutenção remota. No entanto, suas capacidades o tornaram uma das ferramentas mais abusadas em incidentes de segurança: grupos como [[g0102-conti-group|Wizard Spider]], [[g0006-apt1|APT1]], [[g0034-sandworm|Sandworm Team]] e operadores de ransomware o utilizam para movimento lateral após comprometimento inicial. A ubiquidade do PsExec - presente em administradores legítimos e atacantes - torna a detecção desafiadora: o foco deve ser no contexto (quem está executando, de onde, para onde) e não apenas na presença da ferramenta. **Plataformas:** Windows ## Como Funciona O PsExec opera em quatro etapas sobre SMB: 1. **Autenticação:** Conecta ao compartilhamento `ADMIN

do host remoto via SMB usando credenciais fornecidas 2. **Upload:** Copia `psexesvc.exe` para `C:\Windows\` no host remoto via `ADMIN

3. **Registro:** Cria e inicia o serviço `psexesvc` no registro do host remoto 4. **Execução:** Executa o comando específicado no contexto do serviço, retorna output via named pipe **Parâmetros frequentemente abusados:** - `-s`: Executa no contexto SYSTEM (mais elevado que admin) - `-d`: Executa sem esperar conclusão (deploy sem bloqueio) - `-accepteula`: Pula dialog legal (automação silenciosa) - `\\*`: Executa em todos os hosts descobertos via broadcast ## Uso Ofensivo ```mermaid graph TB A["🔑 Credenciais obtidas hash NTLM ou senha"] --> B["📁 SMB conexão \\\\alvo\\ADMINquot;] B --> C["📤 Upload psexesvc.exe para C:\\Windows\\"] C --> D["⚙️ Registro de serviço PSEXESVC criado"] D --> E["▶️ Execução do comando contexto SYSTEM"] E --> F["📥 Output retornado via named pipe"] F --> G["🗑️ Serviço removido limpeza automática"] ``` **Ransomware - deploy em escala via PsExec:** ```mermaid graph TB A["🔑 Domain Admin comprometido via Mimikatz ou Rubeus"] --> B["📋 Lista de alvos todos os hosts do domínio"] B --> C["🚀 PsExec para cada host psexec \\\\* -s payload.exe"] C --> D["💥 Ransomware executado contexto SYSTEM em 100+ hosts"] D --> E["🔒 Criptografia simultânea toda a rede em minutos"] ``` ## Timeline | Ano | Evento | |-----|--------| | 2004 | Mark Russinovich lança PsExec como parte da suite Sysinternals | | 2006-2013 | [[g0006-apt1\|APT1]] usa PsExec extensivamente em espionagem industrial dos EUA | | 2017 | NotPetya ([sandworm-team\|Sandworm]) usa PsExec junto com Mimikatz para propagação global | | 2019-2021 | [[g0102-conti-group\|Wizard Spider]] usa PsExec como mecanismo central de deploy de Ryuk/Conti | | 2022 | PsExec identificado em > 80% dos incidentes de ransomware (Sophos) | | 2024 | Continua sendo a ferramenta mais detectada em movimento lateral pós-comprometimento | ## TTPs | ID | Nome | Uso pelo PsExec | |----|------|----------------| | [[t1569-002-service-execution\|T1569.002]] | Service Execution | Instala e executa serviço remoto `psexesvc` | | [[t1021-002-smb-windows-admin-shares\|T1021.002]] | SMB/Windows Admin Shares | Copia binário via compartilhamento `ADMIN

| | [[t1570-lateral-tool-transfer\|T1570]] | Lateral Tool Transfer | Transferência de ferramentas entre hosts comprometidos | ## Atores que Utilizam - [[g0006-apt1|APT1]] (Comment Crew) - espionagem industrial americana de longo prazo - [[g0102-conti-group|Wizard Spider]] - Ryuk/Conti ransomware deployment - [[g0034-sandworm|Sandworm Team]] - NotPetya propagação e operações destrutivas - [[g1017-volt-typhoon|Volt Typhoon]] - espionagem em infraestrutura crítica - [[g0046-fin7|FIN7]] - ataques a varejo e setor financeiro ## Relevância LATAM/Brasil O PsExec é encontrado em práticamente todos os incidentes graves de ransomware no Brasil. A técnica clássica de grupos como [[g0102-conti-group|Wizard Spider]] (Conti) e outros é: comprometer Domain Admin, usar [[mimikatz|Mimikatz]] para dump de hashes, e então usar PsExec para executar o ransomware em todos os hosts do domínio simultaneamente via `psexec \\* -s ransomware.exe`. Para equipes de IR brasileiras, a descoberta de logs de serviço `PSEXESVC` criado e deletado rapidamente em múltiplos hosts é um indicador de alto valor de movimento lateral ativo. A janela de resposta é crítica: uma vez que o atacante tem Domain Admin e começa o PsExec sweep, o deploy do ransomware pode ocorrer em questão de minutos. A contramedida mais eficaz é **segmentação de rede** (previne o alcance do PsExec) e **monitoramento em tempo real de criação de serviços** (Event ID 7045 em múltiplos hosts simultaneamente). ## Detecção **Indicadores de comprometimento:** - Serviço `PSEXESVC` criado e deletado rapidamente em hosts que não são gerenciados centralmente via PsExec - Arquivo `psexesvc.exe` copiado para `C:\Windows\` a partir de um endereço IP de workstation - Múltiplos hosts com `PSEXESVC` ativo simultaneamente - indicativo de deploy em escala **Fontes de dados recomendadas:** - **Windows Event ID 7045:** Instalação de novo serviço com nome `PSEXESVC` em horário suspeito - **Windows Security Event 4624 + 5140:** Logon de rede em `ADMIN

seguido de criação de serviço - **Sysmon Event ID 1 (ProcessCreate):** Processo iniciado por `psexesvc.exe` com argumento de payload **Regras de detecção:** - Sigma: `proc_creation_win_sysinternals_psexec.yml` - execução de psexec.exe (SigmaHQ) - Sigma: `win_security_susp_admin_share_access.yml` - acesso a `ADMIN

por conta de usuário suspeita - Microsoft MDE: `DeviceProcessEvents` - `psexesvc.exe` como parent de processos suspeitos ## Referências - [1](https://attack.mitre.org/software/S0029) MITRE ATT&CK - S0029 PsExec (2024) - [2](https://learn.microsoft.com/en-us/sysinternals/downloads/psexec) Microsoft Sysinternals - PsExec Documentation - [3](https://thedfirreport.com/2021/07/19/from-word-to-lateral-movement-in-1-hour/) The DFIR Report - PsExec lateral movement in ransomware (2021) - [4](https://www.sophos.com/en-us/press-office/press-releases/2022/11/ransomware-and-cyber-threats-report) Sophos - PsExec in 80% of ransomware incidents (2022)