> [!warning] Aviso Importante > Este playbook é um ponto de partida. Deve ser revisado, testado e adaptado ao ambiente da sua organização. Credenciais comprometidas têm um ciclo de vida curto — ajá rapidamente. --- ## Visão Geral Infostealers são malwares focados em coleta silenciosa de credenciais armazenadas em browsers, gerenciadores de senha, clientes de e-mail e aplicações corporativas. As credenciais roubadas são vendidas em mercados underground (Russian Market, 2easy, Genesis Market) onde Initial Access Brokers (IABs) as compram para vender acesso a organizações específicas. **Famílias mais ativas em 2024-2025:** - **Lumma Stealer** - escrito em C, MaaS (Malware-as-a-Service), foco em wallets cripto e cookies de session - **RedLine Stealer** - coleta de browsers, FTP, VPN, carteiras cripto; distribuído via MaaS - **Raccoon Stealer v2** - stealer de credenciais de 60+ aplicações; ativo após reboot do grupo em 2022 - **Vidar** - baseado em Arkei; foco em browsers, Discord, Telegram, 2FA tokens - **StealC** - stealer leve distribuído como MaaS; muito usado em campanhas LATAM **Ciclo de ameaça:** 1. Usuário infectado → infostealer roda → credenciais exfiltradas → vendidas em Telegram/mercado underground 2. IAB compra logs → vende acesso à organização → ransomware ou espionagem --- ## Fluxo de Resposta ao Incidente ```mermaid flowchart TD A([🔐 Credenciais Corporativas<br/>Encontradas em Fórum Underground]) --> B{Tipo de\nCompromisso?} B -->|Log de infostealer vendido| C[Identificar Escopo:<br/>quais credenciais estão expostas] B -->|Host infectado detectado| D[Isolar Host via EDR<br/>Coleta Forense Imediata] B -->|Acesso anômalo detectado| E[Investigar Sessão Suspeita<br/>no SIEM] C --> F[Reset URGENTE de<br/>Todas as Senhas Expostas] D --> F E --> F F --> G[Revogar Tokens OAuth<br/>e Cookies de Sessão] G --> H[Auditar Acessos das<br/>Últimas 48-72h] H --> I{Há Acesso\nNão Autorizado?} I -->|Sim| J[Escalar para IR P1<br/>Declarar Incidente] I -->|Não| K[Monitoramento Reforçado<br/>30 dias] J --> L[Investigação Forense<br/>Completa] L --> M[Erradicação e<br/>Recuperação] M --> K K --> N([✅ Incidente Encerrado]) style A fill:#cc6600,color:#fff style J fill:#ff4444,color:#fff style N fill:#00aa44,color:#fff style F fill:#ff0000,color:#fff ``` --- ## Diagrama de Comúnicação ```mermaid sequenceDiagram participant CTI as CTI / Threat Intel participant SOC as SOC Analyst participant IR as IR Lead participant IT as TI / IAM Team participant HR as RH (se usuário específico) participant Legal as Jurídico/DPO participant Exec as Gestão CTI->>SOC: Alerta: credenciais corporativas em marketplace underground SOC->>IR: Confirmar escopo — quais usuários, quais sistemas IR->>IT: T+15min: Reset urgente de senhas dos usuários afetados IR->>IT: T+15min: Revogar tokens OAuth e sessões ativas IT->>SOC: Confirmação: credenciais resetadas SOC->>IR: Verificar logs de acesso — há sessão ativa não autorizada? IR->>Exec: Briefing: credenciais expostas, ações tomadas, avaliação de risco IR->>Legal: Avaliação LGPD: dados pessoais de clientes comprometidos? HR->>HR: Investigação disciplinar se insider threat suspeito Legal->>IR: Parecer sobre notificação ANPD IR->>Exec: Relatório de encerramento em 72h ``` --- ## Indicadores de Comprometimento ### Comportamento Suspeito de Infostealer - Processo `cmd.exe` ou `powershell.exe` como filho de browser (Chrome, Firefox, Edge) - Acesso a `%LOCALAPPDATA%\Google\Chrome\User Data\Default\Login Data` por processo não-browser - Acesso a `%APPDATA%\Mozilla\Firefox\Profiles\*\logins.json` - Acesso a `%LOCALAPPDATA%\Microsoft\Credentials\` ou `DPAPI` calls anômalas - Processo temporário com alto I/O de leitura em múltiplos diretórios de usuário - Conexão de saída para IP/domínio Telegram API: `api.telegram.org` (canal C2 de muitos infostealers) ### Hashes e Nomes de Arquivos (Público) ``` # Lumma Stealer - amostras recentes (MalwareBazaar) # Verificar: https://bazaar.abuse.ch/browse/tag/lummastealer/ # RedLine Stealer - identificadores Nome de processo comum: SystemUpdaté.exe, WindowsUpdaté.exe Mutex: DCR_MUTEX-{hex} # Raccoon Stealer v2 C2 pattern: POST /gaté.php HTTP/1.1 User-Agent: Mozilla/5.0 (Windows NT 6.1) # UA hardcoded antigo # Vidar Stealer Dependências legítimas: sqlite3.dll, nss3.dll, mozglue.dll (copiadas de Firefox) Arquivo de config: {GUID}.tmp em %TEMP% ``` --- ## Ferramentas Recomendadas ### Detecção e Hunting | Ferramenta | Uso | Comando/Detalhe | |------------|-----|----------------| | **Velociraptor** | Hunting de infostealers em escala | `artifacts collect Windows.Detection.Infostealers` | | **KAPE** | Coleta de artefatos - browser history, credentials | `kape.exe --target BrowserHistory,CredentialFiles` | | **Nirsoft BrowserPasswordDecryptor** | Auditoria de credenciais armazenadas nos browsers | Executar no endpoint para inventariar senhas armazenadas | | **LaZagne** | Auditar credenciais armazenadas (autorizado) | `laZagne.exe all > credentials_audit.txt` | | **Volatility 3** | Analisar processo infostealer em memória | `python3 vol.py -f mem.raw windows.dlllist --pid <PID>` | ### Threat Intelligence | Ferramenta | Uso | |------------|-----| | **Have I Been Pwned (HIBP) API** | Verificar se e-mails corporativos estão em data breaches | | **Flare.io / Hudson Rock** | Monitorar logs de infostealers em dark web | | **Trellix (Intel 471)** | Feed de credenciais comprometidas de infostealers | | **SpyCloud** | Monitoramento de credenciais corporativas em logs de infostealers | | **VirusTotal** | Verificar amostras de malware coletadas | | **MalwareBazaar** | Base de amostras de infostealers - `bazaar.abuse.ch` | ### IAM e Resposta | Ferramenta | Uso | |------------|-----| | **Microsoft Entra ID** | Revogar tokens: `Revoke-AzureADUserAllRefreshToken` | | **Okta Admin Console** | Revogar sessões ativas e forçar re-login | | **CyberArk / BeyondTrust** | Rotação automática de credenciais privilegiadas | --- ## Checklist de Contenção ### Resposta Imediata (T+0 a T+1h) - [ ] **Identificar escopo**: quais credenciais estão expostas (usuário, sistema, serviço) - [ ] **Isolar host infectado** via EDR se identificado - network containment - [ ] **Resetar senha imediatamente** de todos os usuários com credenciais expostas - [ ] **Revogar tokens OAuth e sessões ativas** - Entra ID, Okta, Google Workspace - [ ] **Forçar re-autenticação** com MFA para todos os usuários afetados - [ ] Verificar se conta tinha acesso privilegiado - escalar protocolo se sim - [ ] Bloquear endereços IP de origem de acessos suspeitos no firewall - [ ] Notificar usuários afetados - instruir a alterar senhas em todos os serviços ### Investigação (T+1h a T+24h) - [ ] Auditar logs de acesso das últimas 48-72h para contas comprometidas - [ ] Verificar se houve acesso a dados sensíveis: RH, financeiro, clientes, código fonte - [ ] Verificar se credenciais foram usadas para mover lateralmente em outros sistemas - [ ] Identificar sistemas que aceitam as mesmas credenciais (password reuse) - [ ] Verificar acesso a e-mail corporativo - buscar e-mails exportados/encaminhados - [ ] Verificar acessos a SharePoint/OneDrive/Google Drive - arquivos baixados --- ## Checklist de Erradicação - [ ] Reimaging do host infectado com infostealer identificado - [ ] Verificar e remover persistência: registro, tarefas agendadas, startup folders - [ ] Remover dependências de infostealer (SQLite DLLs, NSS DLLs) de diretórios incomuns - [ ] Resetar credenciais de TODOS os serviços que o usuário acessava - não apenas os confirmados - [ ] Verificar e revogar certificados de cliente comprometidos - [ ] Auditar integrações OAuth autorizadas pela conta comprometida - revogar não reconhecidas - [ ] Verificar regras de encaminhamento de e-mail criadas pelo atacante - [ ] Atualizar assinaturas YARA/EDR com artefatos do infostealer identificado ### Queries de Detecção #### Splunk - Acesso a Arquivos de Credenciais do Browser ```spl index=sysmon EventCode=11 TargetFilename IN ( "*\\Google\\Chrome\\User Data\\Default\\Login Data", "*\\Mozilla\\Firefox\\Profiles\\*\\logins.json", "*\\Microsoft\\Edge\\User Data\\Default\\Login Data", "*\\Microsoft\\Credentials\\*" ) | where NOT match(Image, "(?i)(chrome|firefox|msedge|MicrosoftEdge)") | stats count by Computer, User, Image, TargetFilename | sort -count ``` #### Splunk - Processo Suspeito Filho de Browser ```spl index=sysmon EventCode=1 ParentImage IN ("*\\chrome.exe", "*\\firefox.exe", "*\\msedge.exe", "*\\iexplore.exe") Image IN ("*\\cmd.exe", "*\\powershell.exe", "*\\wscript.exe", "*\\mshta.exe", "*\\regsvr32.exe") | stats count by Computer, User, ParentImage, Image, CommandLine ``` #### KQL - Microsoft Sentinel - Acesso Anômalo ao DPAPI ```kql DeviceEvents | where ActionType == "DpapiAccessed" | where InitiatingProcessFileName !in~ ("lsass.exe", "svchost.exe", "winlogon.exe", "lsm.exe") | project Timestamp, DeviceName, AccountName, InitiatingProcessFileName, InitiatingProcessCommandLine | order by Timestamp desc ``` #### KQL - Microsoft Sentinel - Múltiplas Falhas de Login Seguidas de Sucesso ```kql let failures = SignInLogs | where ResultType != "0" | summarize FailureCount = count() by UserPrincipalName, IPAddress, bin(TimeGenerated, 10m); let successes = SignInLogs | where ResultType == "0" | project SuccessTime = TimeGenerated, UserPrincipalName, IPAddress; failures | join kind=inner successes on UserPrincipalName, IPAddress | where SuccessTime between (TimeGenerated .. (TimeGenerated + 10m)) | where FailureCount > 5 | project UserPrincipalName, IPAddress, FailureCount, SuccessTime ``` #### Sigma Rule - Infostealer Browser Credential Access ```yaml title: Infostealer Browser Credential File Access status: experimental description: Detects non-browser processes accessing browser credential storage files logsource: category: file_event product: windows detection: selection: TargetFilename|contains: - '\Google\Chrome\User Data\Default\Login Data' - '\Mozilla\Firefox\Profiles\' - '\Microsoft\Edge\User Data\Default\Login Data' - '\Microsoft\Credentials\' filter_legitimate: Image|endswith: - '\chrome.exe' - '\firefox.exe' - '\msedge.exe' - '\MicrosoftEdge.exe' condition: selection and not filter_legitimate level: high tags: ``` --- ## Checklist de Recuperação - [ ] Confirmar que todas as senhas foram resetadas e tokens revogados - [ ] Reimplementar host afetado com imagem padrão corporativa - [ ] Instalar EDR no novo host antes de conectar à rede - [ ] Implementar gerenciador de senha corporativo (1Password, Bitwarden Business, CyberArk) - [ ] Habilitar MFA para TODOS os acessos corporativos - sem exceções - [ ] Desabilitar salvamento de senhas em browsers corporativos (via GPO) - [ ] Configurar monitoramento de dark web para credenciais corporativas (SpyCloud, Flare) - [ ] Monitoramento reforçado por 30 dias - alertas de login de IPs incomuns --- ## Comúnicação ### Notificação ao Usuário Afetado ``` Para: [usuário] Assunto: AÇÃO URGENTE NECESSÁRIA — Credenciais de segurança Identificamos que suas credenciais corporativas podem ter sido comprometidas. AÇÃO IMEDIATA: 1. Sua senha foi resetada pelo time de segurança 2. Você receberá instruções para criar uma nova senha 3. Verifique se usou a mesma senha em outros serviços pessoais - altere-as também Se você notar qualquer atividade estranha em suas contas, contaté o SOC imediatamente: [canal de contato] NÃO compartilhe sua nova senha com ninguém. ``` --- ## Lições Aprendidas ### Questões Obrigatórias 1. Como o infostealer foi instalado? Phishing? Download malicioso? Crack de software? 2. Quanto tempo as credenciais ficaram expostas antes da detecção? 3. Os controles de DLP flagraram a exfiltração de credenciais? 4. Há evidência de que o atacante usou as credenciais antes do reset? 5. O usuário tinha MFA habilitado? O MFA foi bypassado de alguma forma? ### Melhorias Recomendadas - [ ] Implementar MFA para todos os usuários sem exceção - [ ] Proibir salvamento de senhas em browsers (GPO: `PasswordManagerEnabled = 0`) - [ ] Implementar gerenciador de senhas corporativo com auditoria - [ ] Monitoramento contínuo de dark web para credenciais corporativas - [ ] Treinamento de conscientização sobre infostealers e downloads maliciosos - [ ] Implementar Conditional Access baseado em postura do dispositivo (compliant device) - [ ] Configurar SIEM para detectar acesso a arquivos de credenciais de browser --- ## Referências - [[t1003-os-credential-dumping|T1555 - Credentials from Password Stores]] - técnica MITRE ATT&CK - [[t1539-steal-web-session-cookie|T1539 - Steal Web Session Cookie]] - roubo de cookies de sessão - [[t1528-steal-application-access-token|T1528 - Steal Application Access Token]] - roubo de tokens OAuth - [[t1003-os-credential-dumping|T1003 - OS Credential Dumping]] - dumping de credenciais do OS - [[t1056-input-capture|T1056 - Input Capture]] - keylogging - [[lumma-stealer]] - perfil do malware - [CISA - Protecting Against Credential Stuffing](https://www.cisa.gov/credential-stuffing) - [MalwareBazaar - Lumma Stealer Samples](https://bazaar.abuse.ch/browse/tag/lummastealer/) - [SpyCloud - Infostealer Threat Report 2024](https://spycloud.com/blog/annual-identity-exposure-report/) - [Any.RUN - RedLine Stealer Analysis](https://any.run/malware-trends/redline) --- *Última revisão: 2026-03-23 | Próxima revisão recomendada: 2026-09-23*