s0404-esentutl - RunkIntel

# esentutl > Tipo: **tool** · S0404 · [MITRE ATT&CK](https://attack.mitre.org/software/S0404) ## Descrição [[s0404-esentutl|esentutl]] é uma ferramenta de linha de comando nativa do Windows que fornece utilitários de manutenção para o Windows Extensible Storage Engine (ESE), utilizado por componentes como Active Directory, Exchange Server, Internet Explorer e o banco de dados de certificados. Administradores a utilizam para compactar, reparar e verificar bancos de dados ESE (arquivos `.edb`), bem como para realizar transferências de banco de dados. Em contextos maliciosos, o esentutl é abusado como LOLBin de múltiplas formas: cópia de arquivos bloqueados via Volume Shadow Copy (`esentutl /y`), extração do banco de dados NTDS.dit do Active Directory para dump de credenciais de domínio ([[t1003-003-ntds|T1003.003]]), e transferência de arquivos. O [[g0045-apt10|menuPass]] (APT10) e o [[g0114-chimera|Chimera]] usaram esentutl para copiar o NTDS.dit de Domain Controllers comprometidos, permitindo extração offline de todos os hashes de senha do domínio. O [[g1032-inc-ransom|INC Ransom]] o utiliza como ferramenta auxiliar de transferência de dados em suas operações. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1006-direct-volume-access|T1006 - Direct Volume Access]] - [[t1570-lateral-tool-transfer|T1570 - Lateral Tool Transfer]] - [[t1003-003-ntds|T1003.003 - NTDS]] - [[t1564-004-ntfs-file-attributes|T1564.004 - NTFS File Attributes]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] ## Grupos que Usam - [[g0114-chimera|Chimera]] - [[g1032-inc-ransom|INC Ransom]] - [[g0045-apt10|menuPass]] ## Relevância LATAM/Brasil O [[g0045-apt10|menuPass]] (APT10), vinculado ao MSS chinês, tem histórico de campanhas de espionagem contra empresas multinacionais com presença no Brasil, especialmente via comprometimento de MSPs (Managed Service Providers) - setor com grande representação no Brasil. A técnica de cópia de NTDS.dit via esentutl permite extração de credenciais de todo o domínio Active Directory com um único comando, sendo altamente eficaz em ambientes corporativos brasileiros onde o AD centraliza autenticação. O [[g1032-inc-ransom|INC Ransom]], ativo contra setores de saúde e manufatura, incluindo vítimas na América Latina, também figura no uso desta ferramenta. ## Detecção **Fontes de dados recomendadas:** - **Sysmon Event ID 1 (ProcessCreaté):** Execução de `esentutl.exe` com argumentos `/y` (copy), `/vss` (Volume Shadow) ou paths apontando para `ntds.dit`, `NTDS\`, ou `System32\config\` - **Sysmon Event ID 11 (FileCreaté):** Criação de cópias do `ntds.dit` ou `SYSTEM` hive fora de `Windows\NTDS\` - indicativo de staging para extração de credenciais - **Windows Security Event ID 4663:** Acesso a objeto `ntds.dit` por processos não-LSASS **Regras de detecção:** - Sigma: `proc_creation_win_esentutl_ntds_copy.yml` - cópia de NTDS.dit via esentutl (SigmaHQ) - Sigma: `proc_creation_win_esentutl_lolbin.yml` - uso genérico de esentutl como LOLBin para cópia de arquivos - Elastic: `credential_access_ntds_dump_esentutl` - detecção de dump de credenciais via esentutl ## Referências Adicionais - [MITRE ATT&CK - S0404](https://attack.mitre.org/software/S0404) - [SigmaHQ - esentutl NTDS copy detection](https://github.com/SigmaHQ/sigma) - 2024 - [The DFIR Report - esentutl in NTDS extraction](https://thedfirreport.com/) - múltiplos casos documentados