t1003-002-security-account-manager

# T1003.002 - Security Account Manager ## Técnica Pai Esta é uma sub-técnica de [[t1003-os-credential-dumping|T1003 - T1003 - OS Credential Dumping]]. ## Descrição O **Security Account Manager (SAM)** é um banco de dados do Windows que armazena as credenciais de contas locais de cada host - as mesmas listadas pelo comando `net user`. Adversários com acesso de nível SYSTEM podem extrair esses hashes de senha tanto diretamente do Registro do Windows quanto por meio de técnicas em memória, usando ferramentas como [[mimikatz|Mimikatz]], [[s0357-impacket|Impacket]] ou [[s0488-crackmapexec|CrackMapExec]]. Uma vez obtidos, os hashes podem ser quebrados offline ou usados diretamente em ataques de Pass-the-Hash para movimento lateral sem necessidade da senha em texto claro. O banco SAM é protegido por uma chave de criptografia derivada da chave SYSKEY, armazenada na subchave `HKLM\SYSTEM`. Por isso, a extração bem-sucedida exige o dump simultâneo das hives `HKLM\SAM` e `HKLM\SYSTEM` - o que pode ser feito com `reg save` a partir de uma sessão privilegiada ou via shadow copy do volume. Ferramentas como [[s0008-gsecdump|gsecdump]] e o módulo `secretsdump.py` do [[s0357-impacket|Impacket]] automatizam esse processo, reduzindo a barreira técnica para o atacante. **Contexto Brasil/LATAM:** No Brasil, grupos como [[g1016-fin13|FIN13]] - especializado em ataques ao setor financeiro latino-americano - documentadamente utilizam dump do SAM como etapa de escalada após comprometimento inicial. Ransomwares que têm operado na região, incluindo afiliados que usam [[mimikatz|Mimikatz]], dependem dessa técnica para mapear contas locais de administrador reutilizadas em múltiplos endpoints - prática ainda comum em organizações de médio porte do país. A padronização de senhas de administrador local (mesma senha em toda a rede) amplifica drasticamente o impacto dessa técnica no ambiente corporativo brasileiro. ## Attack Flow ```mermaid graph TB A([Acesso Inicial]) --> B([Escalada de Privilégio<br/>SYSTEM]) B --> C([Dump do SAM<br/>reg save / Mimikatz]):::highlight C --> D([Quebra Offline<br/>ou Pass-the-Hash]) D --> E([Movimento Lateral<br/>na rede]) classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona ### 1. Preparação O adversário precisa de privilégios SYSTEM no host alvo - obtidos via exploração de vulnerabilidade, abuso de serviço ou delegação de token. Com esse acesso, é possível ler diretamente as hives protegidas do Registro ou injetar código em processos privilegiados para extrair hashes em memória. ### 2. Execução A extração pode ocorrer de duas formas principais: **(a)** dump das hives via `reg save HKLM\sam sam` e `reg save HKLM\system system`, seguido de processamento offline com ferramentas como Creddump7; ou **(b)** extração direta em memória por ferramentas como [[mimikatz|Mimikatz]] (`lsadump::sam`) ou o módulo `secretsdump.py` do [[s0357-impacket|Impacket]], que combinam automaticamente SAM e SYSTEM para extrair os hashes NTLM de cada conta local. ### 3. Pós-execução Com os hashes em mãos, o adversário tem duas rotas: quebrar o hash offline (dicionário ou força bruta) para obter a senha em texto claro, ou usar o hash diretamente em ataques de **Pass-the-Hash** com ferramentas como [[s0488-crackmapexec|CrackMapExec]] ou [[s0357-impacket|Impacket]] para autenticar em outros sistemas da rede sem jámais conhecer a senha real - tornando o comprometimento silencioso e persistente. ## Detecção **Event IDs relevantes (Windows):** | Event ID | Log | Descrição | |----------|-----|-----------| | `4656` | Security | Handle solicitado para objeto SAM | | `4663` | Security | Tentativa de acesso a objeto (hive SAM) | | `4688` | Security | Criação de processo - monitorar `reg.exe` com argumentos `save HKLM\sam` | | `7045` / `4697` | System / Security | Novo serviço instalado (gsecdump, ferramentas de dump) | | `4624` / `4625` | Security | Logon bem-sucedido / falha após reutilização de hash | **Sigma Rule - Dump do SAM via reg.exe:** ```yaml title: Possible SAM Database Dump via Registry id: a9a33f5e-b4a2-4c91-b8d0-b3e5c2e67d12 status: experimental description: Detecta dump da hive SAM via reg.exe, técnica comum para extração de credenciais locais (T1003.002) references: - https://attack.mitre.org/techniques/T1003/002/ author: RunkIntel daté: 2026-03-24 tags: - attack.credential_access - attack.t1003.002 logsource: category: process_creation product: windows detection: selection: Image|endswith: '\reg.exe' CommandLine|contains|all: - 'save' - 'HKLM' CommandLine|contains: - '\sam' - '\system' - '\security' condition: selection falsepositives: - Backups legítimos de Registro por administradores de sistemas - Ferramentas de backup de AD autorizadas level: high ``` ## Mitigação | ID | Mitigação | Recomendação para Organizações Brasileiras | |----|-----------|---------------------------------------------| | [[m1026-privileged-account-management\|M1026]] | Privileged Account Management | Implementar LAPS (Local Administrator Password Solution) para garantir senhas únicas de administrador local em cada endpoint - elimina o risco de movimento lateral por hash reutilizado | | [[m1027-password-policies\|M1027]] | Password Policies | Exigir senhas fortes e únicas para contas locais; auditar contas com senhas padrão ou idênticas entre hosts | | [[m1028-operating-system-configuration\|M1028]] | OS Configuration | Habilitar Credential Guard no Windows 10/11 e Windows Server 2016+ para proteger hashes NTLM armazenados em memória | | [[m1017-user-training\|M1017]] | User Training | Treinar equipes de TI sobre riscos de contas locais compartilhadas e reutilização de credenciais entre sistemas | ## Threat Actors - [[g1034-daggerfly|Daggerfly]] - grupo chinês de espionagem com histórico de uso de ferramentas de dump de credenciais em campanhas de longa duração - [[g0093-gallium|GALLIUM]] - APT vinculado à China que tem como alvo operadoras de telecomúnicações, incluindo na América Latina - [[g0016-apt29|APT29]] - grupo russo que usa dump do SAM como etapa de escalada em operações de espionagem de alto perfil - [[g1016-fin13|FIN13]] - especialista em ataques ao setor financeiro do México e Brasil, com uso documentado de extração de credenciais locais - [[g0035-dragonfly|Dragonfly]] - grupo focado em infraestrutura crítica, incluindo energia - setor relevante no Brasil - [[g0004-apt15|Ke3chang]] - APT chinês com histórico de ataques a embaixadas e governo, com presença conhecida na América Latina - [[g1030-agrius|Agrius]] - grupo iraniano com foco em destruição e exfiltração de dados usando credenciais comprometidas - [[g0096-apt41|APT41]] - grupo chinês de duplo mandato (espionagem + crime financeiro) com operações globais - [[g1023-apt5|APT5]] - APT chinês focado em telecomúnicações e tecnologia - [[g0045-apt10|menuPass]] - grupo vinculado à China com ataques a provedores de serviços gerenciados (MSPs) ## Software Associado - [[s0488-crackmapexec|CrackMapExec]] - framework de pós-exploração que automatiza autenticação com hashes NTLM em múltiplos hosts simultaneamente - [[s0008-gsecdump|gsecdump]] - ferramenta legada de extração de hashes do SAM e LSA secrets - [[s0250-koadic|Koadic]] - framework de C2 baseado em JScript/VBScript com módulo de extração de credenciais - [[s0006-pwdump|pwdump]] - família de ferramentas pioneiras no dump do banco SAM, ainda referênciadas em variantes modernas - [[s0376-hoplight|HOPLIGHT]] - backdoor norte-coreano que inclui capacidade de coleta de credenciais - [[mimikatz|Mimikatz]] - a ferramenta de referência para extração de credenciais Windows, com módulo dedicado `lsadump::sam` - [[s0125-remsec|Remsec]] - malware do grupo Strider com capacidade de dump de credenciais de forma furtiva - [[s0046-cozycar|CozyCar]] - dropper do [[g0016-apt29|APT29]] usado em estágios iniciais que preparam ambiente para coleta de credenciais - [[s0080-mivast|Mivast]] - backdoor associado a campanhas de espionagem com capacidade de coleta de informações do sistema - [[s0357-impacket|Impacket]] - biblioteca Python amplamente usada por atacantes; o módulo `secretsdump.py` é referência para dump remoto do SAM --- *Fonte: [MITRE ATT&CK - T1003.002](https://attack.mitre.org/techniques/T1003/002)*