s0106-cmd - RunkIntel

# cmd > Tipo: **tool** · S0106 · [MITRE ATT&CK](https://attack.mitre.org/software/S0106) ## Descrição [[s0106-cmd|cmd]] é o interpretador de linha de comando nativo do Windows (`cmd.exe`) que permite a interação com o sistema operacional por meio de comandos de texto. Administradores utilizam cmd.exe para executar scripts batch, automatizar tarefas de manutenção, navegar no sistema de arquivos, gerenciar processos e executar utilitários do sistema. O Cmd.exe contém funcionalidades nativas como listagem de arquivos (`dir`), exclusão (`del`), cópia (`copy`), gerenciamento de rede (`net`), e execução de outros processos. Em contextos maliciosos, `cmd.exe` é frequentemente o shell de comando utilizado após comprometimento inicial para executar comandos de reconhecimento, descoberta de rede, exfiltração de dados e persistência. Por ser um componente nativo e assinado do Windows, sua execução raramente é bloqueada por controles de segurança básicos. Adversários como [[g0093-gallium|GALLIUM]], [[g1017-volt-typhoon|Volt Typhoon]], [[g0026-apt18|APT18]] e [[g0045-apt10|menuPass]] utilizam cmd.exe como shell de comando primário em suas operações - frequentemente lançado a partir de webshells, exploits ou loaders, e usado para executar a cadeia de LOLBins de reconhecimento e movimentação lateral. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1570-lateral-tool-transfer|T1570 - Lateral Tool Transfer]] ## Grupos que Usam - [[g0093-gallium|GALLIUM]] - [[g0060-bronze-butler|BRONZE BUTLER]] - [[g0026-apt18|APT18]] - [[g0045-apt10|menuPass]] - [[g0071-orangeworm|Orangeworm]] - [[g1017-volt-typhoon|Volt Typhoon]] ## Relevância LATAM/Brasil O [[g1017-volt-typhoon|Volt Typhoon]], grupo de espionagem chinês com foco em infraestrutura crítica, utiliza cmd.exe extensivamente em operações "living off the land" que minimizam uso de malware customizado - estratégia de evasão eficaz em ambientes sem EDR avançado, comum em infraestrutura crítica brasileira (energia, saneamento, telecomúnicações). O [[g0050-apt32|APT32]] (OceanLotus), com histórico de alvos governamentais e de setor privado na América Latina, também emprega cmd.exe como shell primário após comprometimento inicial via phishing ou webshell em servidores expostos. ## Detecção **Fontes de dados recomendadas:** - **Sysmon Event ID 1 (ProcessCreaté):** Monitorar `cmd.exe` com processo pai incomum (`iis worker process`, `apache`, `winword.exe`, `excel.exe`) - indicativo de RCE via webshell ou macro Office - **Windows Security Event ID 4688 (com command-line auditing habilitado):** Captura argumentos do cmd.exe - filtrar sequências de comandos de reconhecimento (whoami, ipconfig, net, tasklist) em cadeia rápida - **Sysmon Event ID 13 (RegistryValue Set):** Modificações de registry via `cmd.exe` ou `reg.exe` para persistência - correlacionar com execução de cmd.exe **Regras de detecção:** - Sigma: `proc_creation_win_susp_cmd_parent_process.yml` - `cmd.exe` com parent suspeito como IIS, Apache, ou processo de Office (SigmaHQ) - Sigma: `proc_creation_win_shell_spawn_from_webserver.yml` - shell spawned from web server process (cmd.exe ou powershell) - Elastic: `suspicious_cmd_execution` - cmd.exe com padrões de reconhecimento encadeados ## Referências Adicionais - [MITRE ATT&CK - S0106](https://attack.mitre.org/software/S0106) - [SigmaHQ - cmd.exe spawned from suspicious parent](https://github.com/SigmaHQ/sigma) - 2024 - [CISA AA23-144A - Volt Typhoon Living off the Land techniques](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-144a) - 2023-05-24