det0477-behavioral-detection-of-winrm-based-remote-access

# DET0477 — Behavioral Detection of WinRM-Based Remote Access ## Descrição O Windows Remote Management (WinRM) é um protocolo legítimo de administração remota amplamente usado em ambientes corporativos Windows. Adversários exploram esse serviço para estabelecer acesso remoto persistente após comprometer credenciais válidas, especialmente em ataques de movimento lateral e administração remota não autorizada. A técnica é referênciada como [[T1021.006-remote-services-windows-remote-management|T1021.006 — Remote Services: Windows Remote Management]] no framework MITRE ATT&CK. A detecção eficaz de abuso do WinRM requer correlação entre logs de autenticação (Event ID 4624/4625), atividade de rede na porta 5985/5986 e criação de processos filhos do serviço `wsmprovhost.exe`. Grupos como [[g0032-lazarus-group|Lazarus Group]], [[g0016-apt29|APT29]] e operadores de ransomware frequentemente utilizam WinRM para se mover lateralmente em ambientes comprometidos antes de exfiltrar dados ou implantar payloads destrutivos. O monitoramento deve ser contextualizado com baseline de uso legítimo por administradores de sistemas. A correlação com comportamentos anômalos — como horários fora do expediente, usuários que normalmente não realizam administração remota, ou sessões originadas de estações de trabalho em vez de jump servers — aumenta a fidelidade dos alertas e reduz falsos positivos. ## Indicadores de Detecção - Processo `wsmprovhost.exe` executando comandos incomuns (PowerShell, cmd, scripts de reconhecimento) - Conexões de entrada na porta TCP 5985 (HTTP) ou 5986 (HTTPS) originadas de hosts não autorizados - Event ID 4624 com Logon Type 3 (Network) associado ao serviço WinRM em horários anômalos - Criação de processos filhos inesperados a partir de `wsmprovhost.exe` (ex: `whoami`, `net.exe`, `ipconfig`) - Volume elevado de tentativas de autenticação WinRM provenientes de um único host de origem - Sessões WinRM iniciadas a partir de endpoints que não são servidores de administração ou jump boxes - Uso de credenciais de contas de serviço para conexões WinRM interativas ## Técnicas Relacionadas - [[T1021.006-remote-services-windows-remote-management|T1021.006 — Remote Services: Windows Remote Management]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1059-001-powershell|T1059.001 — PowerShell]] - [[t1570-lateral-tool-transfer|T1570 — Lateral Tool Transfer]] ## Analytics Relacionadas - [[an1313-analytic-1313|AN1313 — Analytic 1313]] --- *Fonte: [MITRE ATT&CK — DET0477](https://attack.mitre.org/detectionstrategies/DET0477)*