# DC0013 - Command Execution > [!info] Componente com a maior cobertura de técnicas MITRE ATT&CK — monitora o texto completo de comandos executados no sistema. Combinado com Process Creation, fornece visibilidade completa sobre ações adversariais. ## Descrição Command Execution captura os comandos executados por usuários e processos no sistema, incluindo o texto completo da linha de comando, o usuário que executou e o contexto de execução. É um dos data components com maior cobertura de técnicas no MITRE ATT&CK, pois a maioria das ações adversariais envolve alguma execução de comando. A combinação de Process Creation com Command Execution fornece visibilidade completa sobre o que foi executado, por quem e com quais parâmetros. ## Fonte de Dados Parent: [[ds0017-command|DS0017 - Command]] ## Pipeline de Detecção ```mermaid graph TB A["💻 Comando Executado<br/>Event ID 4688 / Sysmon 1"] --> B["📝 CommandLine<br/>Completa Capturada"] B --> C["🔎 Correlação com<br/>Regras de Detecção"] C --> D{"🎯 Padrão<br/>Identificado?"} D -->|Reconhecimento| E["🟧 Alerta P2<br/>Discovery Activity"] D -->|Movimento Lateral| F["🟥 Alerta P1<br/>Lateral Movement"] D -->|Comando Encodado| G["🟧 Alerta P2<br/>Obfuscation"] D -->|Benigno| H["✔️ Baseline<br/>Normal"] classDef p1 fill:#e74c3c,color:#ecf0f1 classDef p2 fill:#e67e22,color:#ecf0f1 classDef ok fill:#2ecc71,color:#2c3e50 classDef proc fill:#2c3e50,color:#ecf0f1 class F p1 class E,G p2 class H ok class A,B,C,D proc ``` ## O Que Monitorar - Windows Event ID 4688 com linha de comando (requer habilitação em auditoria) - Sysmon Event ID 1 (ProcessCreate) - captura CommandLine completa - Comandos de reconhecimento típicos: `net user`, `ipconfig`, `whoami`, `systeminfo` - Uso de `cmd.exe /c` ou `powershell.exe -c` com argumentos suspeitos - Comandos de movimentação lateral: `psexec`, `wmic`, `winrm` - Argumentos codificados (`-EncodedCommand`, `-enc`, `/e Base64`) - Comandos executados via `at`, `schtasks` ou WMI remotamente ## Técnicas Detectadas | Técnica | ID | Como Detectar | |---------|-----|---------------| | Command and Scripting Interpreter | [[t1059-command-and-scripting-interpreter\|T1059]] | cmd.exe/powershell.exe com argumentos suspeitos ou encodados | | Windows Management Instrumentation | [[t1047-windows-management-instrumentation\|T1047]] | wmic.exe executando processos remotos | | Scheduled Task/Job | [[t1053-scheduled-task-job\|T1053]] | schtasks.exe /create com payloads suspeitos | | Remote Services | [[t1021-remote-services\|T1021]] | Comandos executados via WinRM, PsExec, SSH | | System Services | [[t1569-system-services\|T1569]] | sc.exe criando ou modificando serviços com binpath suspeito | ## Implementação **Habilitar command line em Event ID 4688:** ``` Computer Configuration > Windows Settings > Security Settings > Advanced Audit Policy > Detailed Tracking > Audit Process Creation + Habilitar "Include command line in process creation events" via GPO ``` **SIEM - detecção de reconhecimento inicial:** ``` index=windows EventCode=4688 | search CommandLine="*net user*" OR CommandLine="*whoami*" OR CommandLine="*ipconfig*" | stats count by ComputerName, SubjectUserName, CommandLine ``` **Ferramentas:** Sysmon, Windows Event Forwarding (WEF), Splunk, Elastic Stack, CrowdStrike Falcon, Microsoft Sentinel. ## Consultas KQL — Microsoft Sentinel / Defender ### Reconhecimento Inicial - Comandos de Enumeração ```kql // DC0013 - Sequência de comandos de reconhecimento (discovery cluster) let recon_cmds = dynamic([ "whoami", "net user", "net group", "net localgroup", "ipconfig", "systeminfo", "hostname", "nltest", "arp -a", "route print", "netstat", "qwinsta", "tasklist", "net share", "net view" ]); DeviceProcessEvents | where Timestamp > ago(1d) | where ProcessCommandLine has_any (recon_cmds) | summarize cmds_used = make_set(ProcessCommandLine, 20), cmd_count = count(), first_seen = min(Timestamp), last_seen = max(Timestamp) by DeviceName, InitiatingProcessAccountName, bin(Timestamp, 30m) | where cmd_count >= 3 | order by cmd_count desc ``` ### Detecção de Movimento Lateral via PsExec e WMI ```kql // DC0013 - Padrões de movimento lateral: PsExec, WMI remoto, sc.exe remoto DeviceProcessEvents | where Timestamp > ago(7d) | where ( // PsExec pattern FileName =~ "psexec.exe" or FileName =~ "psexesvc.exe" // WMI remote execution or (FileName =~ "wmic.exe" and ProcessCommandLine has_any ("/node:", "process call create")) // sc.exe remote service or (FileName =~ "sc.exe" and ProcessCommandLine matches regex @"\\\\[a-zA-Z0-9\-\.]+\\") ) | project Timestamp, DeviceName, FileName, ProcessCommandLine, InitiatingProcessAccountName, InitiatingProcessFileName | order by Timestamp desc ``` ## Contexto LATAM > [!latam] Relevância Regional > **Command Execution é o elo central de ataques a infraestruturas brasileiras.** Grupos de ransomware como **RansomHub**, **Black Basta** e operadores afiliados ao **LockBit** documentados em ataques ao Brasil em 2024-2025 utilizam sequências previsíveis de comandos: reconhecimento com `net view` e `nltest`, seguido de movimentação lateral via **PsExec** ou **WMI remoto**. O CTIR Gov (CERT governamental brasileiro) públicou em 2025 alertas específicos sobre uso de `wmic.exe` em ataques a órgãos públicos federais. Em ambientes LATAM com múltiplos domínios (holding structures comuns no Brasil), a correlação de comandos entre hosts é crítica para identificar propagação cross-domain antes do impacto. ## Referências - [MITRE ATT&CK - DS0017 Command](https://attack.mitre.org/datasources/DS0017/) - [Enable Command Line Audit - Microsoft](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/component-updates/command-line-process-auditing) - [CTIR Gov - Alertas de Segurança](https://ctir.gov.br) - [PsExec - Sysinternals](https://learn.microsoft.com/en-us/sysinternals/downloads/psexec)