# Hunting - Credential Dumping e Credential Access
> [!warning] Aviso Importante
> Este playbook e direcionado a threat hunters e analistas SOC com experiência em Windows internals e Active Directory. O LSASS e um processo critico - qualquer acao de remediacao deve ser autorizada pelo gerente de incidentes. Falsos positivos sao comuns com ferramentas de segurança legitimas (AV, EDR, LAPS) que também acessam o LSASS.
---
## Visão Geral
Credential dumping e uma das técnicas mais criticas do modelo MITRE ATT&CK - e o pivotal point entre comprometimento de um único host e escalada para controle total do dominio. Ferramentas como [[mimikatz]], [[s0154-cobalt-strike]] (módulo `sekurlsa`) e LSASS process dumping sao usadas por práticamente todos os grupos de ameaça avancada, desde APTs nacionais até operadores de ransomware.
**Contexto LATAM/Brasil:**
- [[g0099-blind-eagle-apt-c-36]] usa ferramentas customizadas de credential access adaptadas para targets colombianos e brasileiros
- Operadores de ransomware como [[lockbit]] e [[akira-ransomware]] fazem credential dumping como passo obrigatorio antes do movimento lateral
- [[g0007-apt28]] e [[g0016-apt29]] exploram DCSync contra organizacoes governamentais e de defesa
**Técnicas mais frequentes em incidentes reais:**
| Técnica | Ferramenta | Privilégio | Detectabilidade |
|---------|-----------|-----------|----------------|
| LSASS Memory Dump | Mimikatz, ProcDump, comsvcs.dll | SYSTEM/Admin local | Media-Alta |
| DCSync | Mimikatz `lsadump::dcsync` | Domain Admin ou delegacao | Alta |
| Kerberoasting | Rubeus, Impacket GetUserSPNs | Usuario de dominio | Media |
| AS-REP Roasting | Rubeus, Impacket GetNPUsers | Nenhum (preauthentication off) | Baixa |
| NTDS.dit dump | Secretsdump.py, ntdsutil | Domain Admin | Alta |
| LSA Secrets | Mimikatz `lsadump::secrets` | SYSTEM | Media |
| SAM Database | reg save HKLM\SAM | Admin local | Media |
| DPAPI Secrets | Mimikatz `sekurlsa::dpapi` | Admin local | Baixa |
---
## Arvore de Ataques de Credenciais
```mermaid
graph TB
subgraph INIT ["Acesso Inicial"]
I1["Usuario de Dominio<br/>Comprometido"]
I2["Admin Local<br/>Comprometido"]
I3["SYSTEM via<br/>Exploit/CVE"]
end
subgraph CRED ["Técnicas de Credential Dumping"]
C1["LSASS Memory<br/>T1003.001"]
C2["DCSync<br/>T1003.006"]
C3["Kerberoasting<br/>T1558.003"]
C4["AS-REP Roasting<br/>T1558.004"]
C5["NTDS.dit<br/>T1003.003"]
C6["SAM + SYSTEM<br/>T1003.002"]
end
subgraph IMPACT ["Impacto pos-dump"]
P1["Pass-the-Hash<br/>Lateral Movement"]
P2["Pass-the-Ticket<br/>Kerberos abuse"]
P3["Controle do<br/>Dominio (DC)"]
P4["Exfiltração de<br/>Dados Sensiveis"]
end
subgraph DETECT ["Pontos de Detecção"]
D1["EventID 4688<br/>Process Creation"]
D2["Sysmon 10<br/>ProcessAccess LSASS"]
D3["EventID 4769<br/>Kerberos Ticket Request"]
D4["EventID 4662<br/>DCSync (DS-Replication-Get-Changes)"]
D5["EventID 4624/4672<br/>Privileged Logon"]
end
I1 --> C3
I1 --> C4
I2 --> C1
I2 --> C6
I3 --> C1
I3 --> C5
I3 --> C2
C1 --> P1
C2 --> P3
C3 --> P2
C4 --> P2
C5 --> P3
C6 --> P1
P1 --> P4
P2 --> P4
P3 --> P4
D1 -.->|Detecta| C1
D2 -.->|Detecta| C1
D3 -.->|Detecta| C3
D3 -.->|Detecta| C4
D4 -.->|Detecta| C2
D5 -.->|Detecta| P1
style C2 fill:#8b0000,color:#fff
style C5 fill:#8b0000,color:#fff
style P3 fill:#cc0000,color:#fff
style DETECT fill:#003366,color:#fff
```
---
## Diagrama - Fluxo de Hunting
```mermaid
flowchart TD
A([Inicio do Hunting<br/>Credential Dumping]) --> B[Hipotese Inicial<br/>Qual técnica investigar?]
B --> C1[H1: LSASS Access<br/>Sysmon Event 10]
B --> C2[H2: DCSync<br/>EventID 4662]
B --> C3[H3: Kerberoasting<br/>EventID 4769]
B --> C4[H4: Ferramentas<br/>EventID 4688 - linha de cmd]
C1 --> D1{Processo<br/>legítimo acessou<br/>lsass.exe?}
C2 --> D2{Conta nao-DC<br/>requisitou DS-Replication?}
C3 --> D3{Alto volume<br/>de tickets RC4<br/>por usuario comum?}
C4 --> D4{Mimikatz / ProcDump<br/>no CommandLine?}
D1 -->|Sim - suspeito| E[Verificar hash do processo<br/>via VT / EDR]
D2 -->|Sim| F[ESCALAR - DCSync<br/>Comprometimento critico]
D3 -->|Sim| G[Listar SPNs afetados<br/>Verificar senhas fracas]
D4 -->|Sim| H[ESCALAR - Ferramenta<br/>de dump confirmada]
E --> I{Hash malicioso<br/>ou incomum?}
I -->|Sim| H
I -->|Nao| J[Documentar FP<br/>Whitelist processo]
F --> K[Acionar IR P1]
H --> K
G --> L[Rotacionar senhas<br/>Contas com SPN]
style A fill:#1a3a5c,color:#fff
style F fill:#ff0000,color:#fff
style K fill:#ff4444,color:#fff
style H fill:#ff6600,color:#fff
```
---
## Detecção H1 - Acesso ao LSASS (Sysmon EventID 10)
O acesso ao processo LSASS (lsass.exe) por processos que nao sao o sistema operacional e o indicador mais direto de credential dumping tentado.
### Windows Event IDs Criticos
| EventID | Fonte | Significado |
|---------|-------|------------|
| **Sysmon 10** | Sysmon | ProcessAccess em lsass.exe - dump de credenciais |
| **4688** | Security | Criação de processo - ProcDump, comsvcs.dll, Mimikatz |
| **4624** | Security | Logon bem-sucedido - válidar origem |
| **4672** | Security | Privilégios especiais atribuidos - Token de Debug |
| **4769** | Security | Requisicao de ticket Kerberos - Kerberoasting |
| **4662** | Security | Operação no objeto Active Directory - DCSync |
| **4728** | Security | Usuario adicionado a grupo de segurança global |
### Splunk - Sysmon EventID 10 (LSASS Process Access)
```spl
index=sysmon EventCode=10 TargetImage="*\\lsass.exe"
| where NOT (SourceImage IN (
"C:\\Windows\\System32\\svchost.exe",
"C:\\Windows\\System32\\werfault.exe",
"C:\\Windows\\System32\\csrss.exe",
"C:\\Program Files\\*\\*.exe"
))
| stats count by Computer, SourceImage, GrantedAccess, CallTrace
| where GrantedAccess IN ("0x1010", "0x1038", "0x1FFFFF", "0x143A", "0x410")
| sort -count
```
### Splunk - Uso de comsvcs.dll para MiniDump
```spl
index=windows EventCode=4688
CommandLine IN ("*comsvcs*MiniDump*", "*comsvcs*#24*", "*rundll32*comsvcs*")
| table _time, Computer, User, ParentProcessName, CommandLine
```
### KQL - Microsoft Sentinel - LSASS Access Anômalo
```kql
DeviceEvents
| where ActionType == "OpenProcessApiCall"
| where FileName =~ "lsass.exe"
| where not(InitiatingProcessFolderPath has_any (
@"C:\Windows\System32\",
@"C:\Windows\SysWOW64\",
@"C:\Program Files\Windows Defender\"
))
| project Timestamp, DeviceName, AccountName,
InitiatingProcessFileName, InitiatingProcessCommandLine,
InitiatingProcessFolderPath
| order by Timestamp desc
```
### KQL - Microsoft Sentinel - ProcDump e Ferramentas Conhecidas
```kql
DeviceProcessEvents
| where ProcessCommandLine has_any (
"sekurlsa", "lsadump", "mimikatz", "procdump",
"MiniDump", "comsvcs.dll", "Out-Minidump",
"Invoke-Mimikatz", "Invoke-ReflectivePEInjection"
)
| project Timestamp, DeviceName, AccountName,
ProcessCommandLine, InitiatingProcessFileName
| order by Timestamp desc
```
---
## Detecção H2 - DCSync
DCSync abusa da API de replicacao do Active Directory para solicitar o hash de qualquer conta, incluindo krbtgt e administradores de dominio, sem precisar acessar fisicamente o DC.
### Splunk - DCSync via EventID 4662
```spl
index=windows EventCode=4662
(Properties="*1131f6aa-9c07-11d1-f79f-00c04fc2dcd2*"
OR Properties="*1131f6ad-9c07-11d1-f79f-00c04fc2dcd2*"
OR Properties="*89e95b76-444d-4c62-991a-0facbeda640c*")
| where NOT (SubjectUserName LIKE "%
quot;)
| stats count by Computer, SubjectUserName, SubjectDomainName, Properties
| sort -count
```
### KQL - Microsoft Sentinel - DCSync Detection
```kql
SecurityEvent
| where EventID == 4662
| where Properties has_any (
"1131f6aa-9c07-11d1-f79f-00c04fc2dcd2", // DS-Replication-Get-Changes
"1131f6ad-9c07-11d1-f79f-00c04fc2dcd2", // DS-Replication-Get-Changes-All
"89e95b76-444d-4c62-991a-0facbeda640c" // DS-Replication-Get-Changes-In-Filtered-Set
)
| where SubjectUserName !endswith "quot; // excluir contas de computador (DCs legítimos)
| project TimeGenerated, Computer, SubjectUserName, SubjectDomainName, Properties
| order by TimeGenerated desc
```
---
## Detecção H3 - Kerberoasting (EventID 4769)
Kerberoasting solicita tickets de servico Kerberos para contas com SPN configurado. O ticket e cifrado com o hash da senha da conta de servico e pode ser quebrado offline. Indicador chave: usuario comum solicitando múltiplos tickets RC4-HMAC em curto período.
### Splunk - Kerberoasting por Volume de Tickets RC4
```spl
index=windows EventCode=4769
TicketOptions="0x40810000"
TicketEncryptionType="0x17"
| where NOT (ServiceName LIKE "%quot;)
| stats count AS ticket_count, dc_list(ServiceName) AS services by IpAddress, AccountName
| where ticket_count > 5
| sort -ticket_count
```
### KQL - Microsoft Sentinel - Kerberoasting
```kql
SecurityEvent
| where EventID == 4769
| where TicketOptions == "0x40810000" // Forwardable, Renewable
| where TicketEncryptionType == "0x17" // RC4-HMAC - forca bruta mais facil
| where ServiceName !endswith "quot;
| summarize TicketCount = count(), Services = make_set(ServiceName)
by AccountName, IpAddress, bin(TimeGenerated, 5m)
| where TicketCount > 3
| order by TicketCount desc
```
---
## Detecção H4 - AS-REP Roasting (EventID 4768)
Contas sem pre-autenticação Kerberos (flag `DONT_REQ_PREAUTH`) respondem com TGT cifrado sem exigir senha inicial - qualquer usuario de dominio pode solicitar e tentar quebrar offline.
### Splunk - AS-REP Roasting
```spl
index=windows EventCode=4768
PreAuthType=0
| where NOT (TargetUserName LIKE "*$*")
| stats count by IpAddress, TargetUserName, _time
| sort -count
```
---
## Checklist de Hunting
- [ ] Verificar Sysmon EventID 10 com GrantedAccess 0x1010 ou 0x1FFFFF apontando lsass.exe
- [ ] Buscar linhas de comando com "mimikatz", "sekurlsa", "comsvcs", "procdump" em EventID 4688
- [ ] Analisar EventID 4662 buscando contas nao-DC requisitando permissoes DS-Replication
- [ ] Verificar EventID 4769 por volume de tickets RC4 (EncType 0x17) por usuario em janela curta
- [ ] Revisar contas de servico com SPN configurado - verificar se estao com senhas fracas
- [ ] Buscar EventID 4768 com PreAuthType=0 (AS-REP roasting possível)
- [ ] Confirmar que a conta krbtgt nao teve senha alterada recentemente por conta nao-admin
- [ ] Verificar uso de ntdsutil ou vssadmin para dump do NTDS.dit via shadow copy
- [ ] Checar EventID 4624/4648 por logons com contas de servico em horarios incomuns
- [ ] Correlacionar todos os indicadores com a telemetria EDR para confirmar ferramentas usadas
---
## Referências
- [[mimikatz]] - ferramenta de credential dumping mais utilizada
- [[s0154-cobalt-strike]] - módulo sekurlsa para LSASS dump
- [[g0099-blind-eagle-apt-c-36]] - APT LATAM com credential dumping customizado
- [[lockbit]] - usa credential dumping antes do ransomware deploy
- [[g0007-apt28]] - uso avancado de DCSync contra organizacoes governamentais
- [[t1003-os-credential-dumping|T1003 - OS Credential Dumping]] - técnica MITRE ATT&CK pai
- [[t1558-steal-or-forge-kerberos-tickets|T1558 - Steal or Forge Kerberos Tickets]] - Kerberoasting e variantes
- [[t1078-valid-accounts|T1078 - Valid Accounts]] - uso de credenciais roubadas
- [[m1043-credential-access-protection|M1043 - Credential Access Protection]] - mitigação MITRE
- [[_detections]] - hub de deteccoes do vault
- [MITRE ATT&CK [[t1003-003-ntds|T1003]] - OS Credential Dumping](https://attack.mitre.org/techniques/T1003/)
- [Detecting DCSync - adsecurity.org](https://adsecurity.org/?p=1729)
- [Kerberoasting Without Mimikatz - Will Schroeder](https://www.harmj0y.net/blog/powershell/kerberoasting-without-mimikatz/)
---
*Ultima revisao: 2026-03-27 | Proxima revisao recomendada: 2026-09-27*