s0123-xcmd - RunkIntel

# xCmd > [!warning] PsExec-like - Execução Remota via Serviço > Alternativa open-source ao [[psexec|PsExec]] usada pelo [[g0006-apt1|APT1]] (Comment Crew) em campanhas de espionagem industrial. Instala serviço temporário no host remoto para executar comandos, usando autenticação Windows nativa (NTLM/Kerberos). ## Visão Geral **xCmd** é uma ferramenta de código aberto que permite a execução remota de aplicações em sistemas Windows, funcionalmente similar ao [[psexec|PsExec]] da Sysinternals. Opera instalando temporariamente um serviço Windows no host alvo via SMB/Admin$, executando o comando específicado no contexto desse serviço, e removendo o serviço após a execução. O uso mais notável do xCmd foi pelo [[g0006-apt1|APT1]] (Comment Crew) - grupo de espionagem chinês vinculado à Unidade 61398 do PLA documentado pelo Mandiant em 2013. O APT1 manteve acesso persistente a dezenas de organizações americanas por anos, usando xCmd junto com outras ferramentas de movimento lateral para se mover entre hosts dentro das redes comprometidas. **Plataformas:** Windows ## Como Funciona O xCmd opera via compartilhamentos administrativos do Windows: 1. Conecta ao compartilhamento `ADMIN

do host remoto usando credenciais fornecidas 2. Copia o binário de serviço (`xcmdsvc.exe`) para o host remoto 3. Registra e inicia um serviço temporário no host remoto 4. Executa o comando específicado no contexto do serviço (geralmente SYSTEM) 5. Remove o serviço após conclusão **Vantagens sobre PsExec para atacantes:** - Não é assinado pela Sysinternals/Microsoft - menor reconhecimento por nome em alertas - Código aberto - pode ser modificado para evadir assinaturas específicas do PsExec - Disponível em múltiplas variantes compiladas **Requisitos de rede:** portas SMB 445/139, compartilhamento ADMIN$ acessível, credenciais com privilégios administrativos no host remoto. ## Uso Ofensivo ```mermaid graph TB A["🔑 Credenciais obtidas Hash NTLM / senha"] --> B["📁 Conexão SMB \\\\alvo\\ADMINquot;] B --> C["📤 Upload xcmdsvc.exe para host remoto"] C --> D["⚙️ Registro de serviço SC CREATE xcmd"] D --> E["▶️ Execução do comando contexto SYSTEM"] E --> F["📥 Resultado retornado via named pipe"] F --> G["🗑️ Limpeza SC DELETE xcmd"] ``` **APT1 - movimento lateral em rede corporativa:** ```mermaid graph TB A["🖥️ Host inicial APT1 - acesso"] --> B["🔑 Credenciais extraídas Mimikatz / pass-the-hash"] B --> C["🌐 Reconhecimento de rede hosts SMB acessíveis"] C --> D["⚡ xCmd para host B execução remota"] D --> E["⚡ xCmd para host C movement lateral"] E --> F["🎯 Servidor de arquivos acesso a dados sensíveis"] F --> G["📤 Exfiltração documentos proprietários"] ``` ## Timeline | Ano | Evento | |-----|--------| | ~2000 | xCmd públicado como alternativa open-source ao PsExec | | 2006 | [[g0006-apt1\|APT1]] (Comment Crew) inicia operações de espionagem industrial de longo prazo | | 2010-2013 | APT1 usa xCmd extensivamente em campanhas contra setores aeroespacial, energia e defesa dos EUA | | 2013-02 | Mandiant pública relatório APT1 expondo o Comment Crew e seu arsenal incluindo xCmd | | 2014 | APT1 operações diminuem significativamente após exposição pública | | 2024 | xCmd permanece no MITRE ATT&CK como ferramenta documentada - variantes em uso | ## TTPs | ID | Nome | Uso pelo xCmd | |----|------|--------------| | [[t1569-002-service-execution\|T1569.002]] | Service Execution | Instala serviço remoto para executar comandos no contexto SYSTEM | ## Atores que Utilizam - [[g0006-apt1|APT1]] (Comment Crew / Unit 61398 PLA) - espionagem industrial americana ## Relevância LATAM/Brasil O xCmd é uma ferramenta legada com documentação principalmente histórica ligada ao [[g0006-apt1|APT1]], grupo que foi exposto em 2013 e reduziu significativamente suas operações abertas. A relevância atual para o Brasil é indireta: a técnica de execução remota via serviço temporário ([[t1569-002-service-execution|T1569.002]]) continua sendo uma das mais usadas em movimento lateral, e ferramentas similares (PsExec, Cobalt Strike's psexec module, custom implementations) são amplamente empregadas por grupos de ransomware que operam no Brasil. Para SOCs brasileiros, o valor da detecção de xCmd é criar regras genéricas para o padrão comportamental: qualquer ferramenta que se conecte via SMB/Admin$, copie um executável, registre um serviço e execute um comando deve ser considerada suspeita - independente do nome da ferramenta. ## Detecção **Indicadores de comprometimento:** - Serviço Windows com nome `xcmd` criado e deletado rapidamente (ciclo < 5 minutos) - Executável `xcmdsvc.exe` copiado para `C:\Windows\` via ADMIN$ - Conexões SMB de entrada seguidas de criação de serviço temporário **Fontes de dados recomendadas:** - **Windows Event ID 7045:** Instalação de novo serviço - alertar em serviços com nomes desconhecidos criados e deletados rapidamente - **Sysmon Event ID 1 (ProcessCreaté):** `xcmdsvc.exe` executado a partir de `C:\Windows\` - **Windows Security Event 4624 + 5140:** Logon de rede em ADMIN$ seguido de criação de serviço - **Sysmon Event ID 11 (FileCreaté):** Arquivo `.exe` copiado para `C:\Windows\` via compartilhamento remoto **Regras de detecção:** - Sigma: `proc_creation_win_psexec_paexec_variants.yml` - detecta variantes de PsExec incluindo xCmd - Sigma: `win_security_install_new_service.yml` - Event ID 7045 com nomes de serviço suspeitos - Sigma: `net_connection_win_smb_admin_share.yml` - acesso ao compartilhamento ADMIN$ por hosts não autorizados ## Referências - [1](https://attack.mitre.org/software/S0123) MITRE ATT&CK - S0123 xCmd (2024) - [2](https://www.mandiant.com/resources/apt1-exposing-one-of-chinas-cyber-espionage-units) Mandiant - APT1: Exposing One of China's Cyber Espionage Units (2013) - [3](https://attack.mitre.org/groups/G0006/) MITRE ATT&CK - G0006 APT1 Group Profile (2024) - [4](https://thedfirreport.com/2022/03/21/apt35-automates-initial-access-using-proxyshell/) The DFIR Report - Remote execution via service installation patterns (2022)