s0191-winexe - RunkIntel

# Winexe > [!warning] Linux-to-Windows Remote Execution > Ferramenta open-source exclusiva para GNU/Linux que executa comandos em hosts Windows remotos - similar ao [[psexec|PsExec]] mas operando a partir de sistemas Linux. Usada pelo [[g0007-apt28|APT28]] no ataque ao Bundestag alemão em 2015, pelo [[g0091-silence|Silence]] em ataques a bancos e pelo [[g0105-darkvishnya|DarkVishnya]] em intrusões físicas. ## Visão Geral **Winexe** é uma ferramenta de código aberto exclusivamente para GNU/Linux que permite executar comandos em servidores Windows remotos. Sua característica mais notável é operar a partir de um cliente Linux - tornando-a a escolha preferida de atacantes que mantêm infraestrutura Linux para controlar alvos Windows. Funcionalmente similar ao [[psexec|PsExec]], instala um serviço temporário (`winexesvc`) no host Windows alvo e executa comandos via pipes nomeados. O Winexe é incluído por padrão no Kali Linux, tornando-o facilmente acessível a testadores de penetração e atacantes. Grupos como [[g0007-apt28|APT28]] o usaram no ataque ao Bundestag alemão em 2015 e [[g0091-silence|Silence]] o empregou em ataques contra instituições financeiras do Leste Europeu. O [[g0105-darkvishnya|DarkVishnya]] notoriamente plantava dispositivos físicos (Raspberry Pi/BeagleBone) dentro de bancos e os usava como pontos de acesso Linux para executar Winexe contra sistemas Windows internos. **Plataformas:** Linux (cliente) → Windows (alvo) ## Como Funciona O Winexe opera via protocolo SMB/CIFS: ```bash winexe -U domain/user%password //host-alvo cmd.exe winexe -U domain/user%hash //host-alvo "net user backdoor P@ss123 /add" ``` **Fluxo de execução:** 1. Cliente Linux conecta ao compartilhamento `ADMIN

do host Windows via SMB (porta 445) 2. Copia o binário de serviço `winexesvc.exe` para `C:\Windows\winexesvc.exe` 3. Registra o serviço `winexesvc` via `\pipe\svcctl` 4. Redireciona stdin/stdout/stderr para os pipes nomeados: - `\\.\pipe\ahexec` (controle) - `\\.\pipe\ahexec_stdin` - `\\.\pipe\ahexec_stdout` - `\\.\pipe\ahexec_stderr` 5. Remove o serviço após a sessão ser encerrada **Pass-the-hash:** O Winexe suporta autenticação com hash NTLM diretamente (sem precisar da senha em texto claro) - integrando-se a workflows de post-exploitation que usam Mimikatz ou secretsdump para extrair hashes. ## Uso Ofensivo ```mermaid graph TB A["🐧 Atacante Linux Kali / servidor C2"] --> B["🔐 Credenciais Windows usuário / hash NTLM"] B --> C["📡 Conexão SMB 445 para host Windows"] C --> D["📤 Upload winexesvc.exe via ADMINquot;] D --> E["⚙️ Serviço instalado winexesvc em execução"] E --> F["💻 Shell remoto cmd.exe / PowerShell"] F --> G["📊 Movimento lateral reconhecimento / exfiltração"] G --> H["🗑️ Limpeza serviço removido"] ``` **DarkVishnya - acesso físico + Winexe:** ```mermaid graph TB A["🏦 Banco alvo filial ou sede"] --> B["🔌 Dispositivo implantado Raspberry Pi / Bash Bunny"] B --> C["📡 Dispositivo conecta rede interna por Wi-Fi/3G"] C --> D["🐧 Shell Linux remoto acesso do atacante"] D --> E["🔍 Varredura de rede hosts Windows acessíveis"] E --> F["⚡ Winexe para servidores sistemas bancários críticos"] F --> G["💰 Acesso a sistemas fraude / exfiltração"] ``` ## Timeline | Ano | Evento | |-----|--------| | 2010 | Winexe lançado como ferramenta open-source para administração remota Linux-to-Windows | | 2014 | Incluído como ferramenta padrão no Kali Linux | | 2015-04 | [[g0007-apt28\|APT28]] (Sofacy) usa Winexe em ataque ao Bundestag alemão - acesso aos servidores do Parlamento | | 2018 | [[g0105-darkvishnya\|DarkVishnya]] documentado implantando dispositivos com Winexe em bancos do Leste Europeu | | 2019 | [[g0091-silence\|Silence]] identificado usando Winexe em ataques a bancos e processadoras de pagamento | | 2021 | NCSC UK alerta sobre uso de Winexe por grupos de ameaça russas em campanhas contínuas | ## TTPs | ID | Nome | Uso pelo Winexe | |----|------|----------------| | [[t1569-002-service-execution\|T1569.002]] | Service Execution | Instala `winexesvc` temporariamente para execução remota via SMB | ## Atores que Utilizam - [[g0007-apt28|APT28]] (Fancy Bear / Sofacy) - execução remota em alvos governamentais europeus - [[g0091-silence|Silence]] - ataques a sistemas bancários via Linux pivot - [[g0105-darkvishnya|DarkVishnya]] - movimento lateral a partir de dispositivos físicos implantados em bancos ## Relevância LATAM/Brasil A combinação de Winexe com dispositivos físicos implantados (técnica documentada do [[g0105-darkvishnya|DarkVishnya]]) é altamente relevante para o setor financeiro brasileiro. O Brasil possui uma das maiores densidades bancárias da América Latina, com múltiplas filiais de bancos como alvos potenciais de implantação de dispositivos. A tática não requer exploração de vulnerabilidades de rede - basta um acesso físico breve a uma tomada de rede em uma sala sem monitoramento. Para [[g0091-silence|Silence]] - grupo que historicamente ataca bancos no Leste Europeu, CIS e tem expandido para outras regiões - o uso de Winexe a partir de pivots Linux é parte do arsenal padrão. Organizações financeiras brasileiras devem monitorar conexões SMB originadas de sistemas Linux internos, especialmente de IPs incomuns ou de segmentos de rede não esperados. O comportamento característico do Winexe - upload de `winexesvc.exe` para `C:\Windows\` seguido de criação e remoção rápida do serviço - é detectável via auditoria de eventos de serviço e monitoramento de arquivos no diretório de sistema. ## Detecção **Indicadores de comprometimento:** - Arquivo `winexesvc.exe` em `C:\Windows\winexesvc.exe` (assinatura direta) - Serviço `winexesvc` criado e removido rapidamente - Pipes nomeados: `\\.\pipe\ahexec`, `\\.\pipe\ahexec_stdin/stdout/stderr` - Conexão SMB (porta 445) originada de host Linux para host Windows (detecção por fingerprint OS) **Fontes de dados recomendadas:** - **Windows Event ID 7045:** Instalação do serviço `winexesvc` - alta fidelidade, quase sempre malicioso - **Sysmon Event ID 11 (FileCreaté):** `winexesvc.exe` criado em `C:\Windows\` - **Sysmon Event ID 17/18 (Pipe Created/Connected):** Named pipes `ahexec` - assinatura específica do Winexe - **Network:** Conexões SMB (445) de sistemas Linux para sistemas Windows internos - alerta de cross-OS lateral movement - **EDR:** Processo `winexesvc.exe` executado com linhagem de `svchost.exe` **Regras de detecção:** - Sigma: `proc_creation_win_winexe_execution.yml` - detecta criação de processo `winexesvc.exe` - Sigma: `sysmon_win_winexe_namedpipe.yml` - detecta named pipes `ahexec` específicos do Winexe - Yara: `winexesvc_binary.yar` - hash e strings do binário winexesvc - Network: Regra de firewall alertando para SMB de hosts Linux (baseado em TTL/TCP fingerprint) ## Referências - [1](https://attack.mitre.org/software/S0191) MITRE ATT&CK - S0191 Winexe (2024) - [2](https://www.securityweek.com/german-parliament-hack-traced-russian-espionage-group/) SecurityWeek - German Parliament Hack Traced to Russian Espionage Group APT28 (2015) - [3](https://securelist.com/darkvishnya/89169/) Kaspersky - DarkVishnya: Bank Robberies via Supply Chain (2018) - [4](https://github.com/skalkoto/winexe) GitHub - winexe source code repository (2024) - [5](https://www.group-ib.com/resources/threat-research/silence-group.html) Group-IB - Silence: The Financial Cyber Threat Group (2019)