det0105-post-credential-dump-password-cracking-detection-via-suspicious-file-acc

# DET0105 — Post-Credential Dump Password Cracking Detection via Suspicious File Access and Hash Analysis Tools ## Descrição Esta estratégia detecta atividade de cracking de hashes de senha após extração de credential stores. Após obter hashes do SAM, NTDS.dit ou `/etc/shadow`, adversários utilizam ferramentas como Hashcat, John the Ripper ou Rainbow Tables para recuperar senhas em texto claro. A detecção desta fase é crítica pois representa uma janela de oportunidade antes que as credenciais recuperadas sejam utilizadas para escalada ou movimentação lateral. A telemetria inclui: acesso a arquivos de hash exportados (`.ntds`, `.hive`, `.shadow`) por processos não esperados, execução de ferramentas de cracking conhecidas (`hashcat.exe`, `john.exe`, `ophcrack.exe`), e alto consumo de GPU/CPU por processos em diretórios suspeitos (Hashcat com GPU pode consumir 100% do GPU). Em ambientes corporativos, a presença dessas ferramentas é por si só um indicador — independentemente do contexto. A estratégia também cobre ataques de cracking online via Kerberoasting e AS-REP Roasting, onde tickets Kerberos exportados são submetidos a ferramentas de cracking offline. O padrão de acesso: credential dump → cópia de arquivo de hash para diretório local → execução de processo com alto CPU/GPU — é a cadeia de comportamento mais detectável. [[g0032-lazarus-group]] e grupos financeiros como [[g0037-fin6]] realizam cracking de hashes para obter acesso a contas de serviço de alto privilégio. ## Indicadores de Detecção - Presença de `hashcat.exe`, `john.exe`, `ophcrack.exe` em qualquer sistema corporativo - Arquivos com extensões `.ntds`, `.hive`, `.dit`, `.shadow` em diretórios temporários ou de usuário - Alto consumo de GPU (>80%) por processos em caminhos não relacionados a jogos ou rendering - Arquivo de wordlist (`rockyou.txt`, `passwords.txt`, listas com >100K linhas) em sistema corporativo - Acesso a arquivos de hash seguido por processo com uso intensivo de CPU por longa duração (>5 min) - Tickets Kerberos (`.kirbi`, `.ccache`) salvos em disco por ferramentas não-AD nativas ## Técnicas Relacionadas - [[t1110002-brute-force-password-cracking]] — Cracking de senhas/hashes - [[t1003-os-credential-dumping]] — Fase anterior de extração de hashes - [[t1558003-kerberoasting]] — Kerberoasting como fonte de hashes para crack - [[t1558004-as-rep-roasting]] — AS-REP Roasting como fonte de hashes - [[t1078-valid-accounts]] — Uso das senhas recuperadas ## Analytics Relacionadas - [[an0292-analytic-0292|AN0292 — Analytic 0292]] - [[an0293-analytic-0293|AN0293 — Analytic 0293]] - [[an0294-analytic-0294|AN0294 — Analytic 0294]] - [[an0295-analytic-0295|AN0295 — Analytic 0295]] - [[an0296-analytic-0296|AN0296 — Analytic 0296]] --- *Fonte: [MITRE ATT&CK — DET0105](https://attack.mitre.org/detectionstrategies/DET0105)*