# T1003 - OS Credential Dumping
> [!info] Identificação MITRE ATT&CK
> **Tática:** Credential Access · **ID:** T1003 · **Plataformas:** Windows, Linux, macOS · **Versão:** 16.2
> [!warning] Alta Criticidade
> T1003 é uma das técnicas MITRE mais amplamente exploradas por grupos APT e ransomware. Presente em práticamente todas as intrusões sofisticadas que evoluem para comprometimento total de domínio Active Directory.
## Descrição
**T1003 - OS Credential Dumping** descreve o conjunto de técnicas pelas quais adversários extraem hashes de senha, credenciais em texto claro e materiais de autenticação diretamente de estruturas de memória, caches e registros do sistema operacional. Essa técnica é uma das mais críticas no arsenal ofensivo moderno - representa a transição de um comprometimento inicial limitado para controle abrangente de uma rede corporativa.
As credenciais obtidas por meio de OS Credential Dumping permitem que o adversário execute [[ta0008-lateral-movement|Lateral Movement]], acesse sistemas restritos, mantenha persistência de longo prazo e, em cenários de ransomware, criptografe domínios Active Directory inteiros com um único comando.
**O que pode ser extraído:**
| Tipo | Fonte | Uso pelo Adversário |
|------|-------|---------------------|
| Hashes NTLM | LSASS Memory / SAM / NTDS.dit | Pass-the-Hash, cracking offline |
| Credenciais em texto claro | WDigest (legacy) / LSASS | Autenticação direta |
| Tickets Kerberos (TGT/TGS) | LSASS Memory | Pass-the-Ticket, Golden/Silver Ticket |
| Hashes NTLMv2 | Captura de rede / NetNTLM | Relay attacks, cracking |
| LSA Secrets | Registro do Windows | Senhas de serviços, contas de máquina |
| DPAPI Master Keys | LSASS / DPAPI blobs | Descriptografar segredos DPAPI |
| Credenciais em cache (MSCACHE) | Registro (HKLM\SECURITY) | Acesso offline com DCC2 hashes |
| Hashes shadow (Linux) | /etc/shadow | Cracking offline |
**Ferramentas mais utilizadas:**
- **Mimikatz** - ferramenta mais icônica; múltiplos módulos (`sekurlsa::logonpasswords`, `lsadump::sam`, `lsadump::dcsync`)
- **CrackMapExec** - automação de dumping em larga escala na rede
- **Impacket** - suite Python para secretsdump remoto (sem binário no alvo)
- **ProcDump** - ferramenta legítima da Sysinternals usada para dump de memória do LSASS
- **Rubeus** - extração e manipulação de tickets Kerberos
- **[[s0349-lazagne|LaZagne]]** - credenciais de múltiplas fontes em Windows e Linux
Essa técnica abrange 8 subtécnicas cobrindo diferentes vetores de extração, documentados em [[t1003-001-lsass-memory|T1003.001]], [[t1003-002-security-account-manager|T1003.002]], [[t1003-003-ntds|T1003.003]], [[t1003-004-lsa-secrets|T1003.004]], [[t1003-005-cached-domain-credentials|T1003.005]], [[t1003-006-dcsync|T1003.006]], [[t1003-007-proc-filesystem|T1003.007]] e [[t1003-008-etcpasswd-and-etcshadow|T1003.008]].
## Como Funciona
### Subtécnica T1003.001 - LSASS Memory (Windows)
O processo **LSASS** (Local Security Authority Subsystem Service) é o coração da autenticação Windows. Ele mantém em memória as credenciais de todos os usuários com sessão ativa, incluindo hashes NTLM, tickets Kerberos e, em configurações legadas com WDigest habilitado, senhas em texto claro.
**Métodos de acesso ao LSASS:**
1. **ProcDump (Sysinternals):**
```
procdump.exe -accepteula -ma lsass.exe lsass.dmp
```
O dump é transferido offline e processado pelo Mimikatz.
2. **Mimikatz direto (requer SeDebugPrivilege):**
```
sekurlsa::logonpasswords
sekurlsa::tickets /export
```
3. **Task Manager / comsvcs.dll** (bypass sem binário externo):
```
rundll32.exe C:\Windows\System32\comsvcs.dll MiniDump <PID> lsass.dmp full
```
4. **Drivers maliciosos** - malwares avançados como Carbanak usam drivers kernel para acessar LSASS sem acionar proteções de EDR no userspace.
### Subtécnica T1003.002 - Security Account Manager (SAM)
O banco de dados **SAM** armazena hashes NTLM das contas locais do Windows. Está localizado em `C:\Windows\System32\config\SAM` e é bloqueado pelo SO durante a execução.
```
# Via reg save (requer elevação)
reg save HKLM\SAM sam.hive
reg save HKLM\SYSTEM system.hive
# Extração offline com secretsdump (Impacket)
secretsdump.py -sam sam.hive -system system.hive LOCAL
```
### Subtécnica T1003.003 - NTDS.dit (Active Directory)
O **NTDS.dit** é o banco de dados principal do Active Directory, armazenado nos Domain Controllers em `C:\Windows\NTDS\ntds.dit`. Contém os hashes de **todas as contas do domínio** - comprometer este arquivo equivale a comprometer o domínio inteiro.
```
# Volume Shadow Copy (bypass do lock do arquivo)
vssadmin creaté shadow /for=C:
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\NTDS\ntds.dit C:\temp\ntds.dit
# Via ntdsutil
ntdsutil "ac i ntds" "ifm" "creaté full C:\temp\dump" q q
```
### Subtécnica T1003.006 - DCSync
**DCSync** é uma das subtécnicas mais críticas - não requer acesso local ao DC. O adversário com permissões `DS-Replication-Get-Changes` e `DS-Replication-Get-Changes-All` pode simular a replicação do AD remotamente:
```
# Mimikatz DCSync
lsadump::dcsync /domain:empresa.com.br /user:krbtgt
lsadump::dcsync /domain:empresa.com.br /all /csv
```
Grupos como [[g0007-apt28|APT28]] (Fancy Bear) e [[g1003-ember-bear|Ember Bear]] utilizam DCSync extensivamente em operações de espionagem.
### Subtécnica T1003.008 - /etc/passwd e /etc/shadow (Linux)
No Linux, as credenciais são armazenadas em `/etc/passwd` (informações de conta, legível por todos) e `/etc/shadow` (hashes de senha, requer root):
```bash
# Requer root
cat /etc/shadow
unshadow /etc/passwd /etc/shadow > hashes.txt
# Cracking offline com hashcat / john the ripper
```
### Técnica complementar: Pass-the-Hash
Hashes NTLM obtidos via dumping não precisam ser "quebrados" - podem ser usados diretamente para autenticação em protocolos Windows (SMB, WMI, RDP NLA em configurações específicas), técnica conhecida como **Pass-the-Hash**.
## Attack Flow
```mermaid
graph TB
A[Acesso Inicial<br/>Phishing / Exploit / VPN comprometida] --> B[Execução de Payload<br/>Powershell / Cobalt Strike / Meterpreter]
B --> C[Elevação de Privilégio<br/>UAC Bypass / Token Impersonation / CVE local]
C --> D[Estabelecimento de Persistência<br/>Scheduled Task / Registry / Service]
D --> E{Ambiente Detectado}
E --> F[Windows Domain<br/>Active Directory]
E --> G[Windows Standalone<br/>Workgroup]
E --> H[Linux / macOS<br/>Servidor / Endpoint]
F --> I[LSASS Dump<br/>T1003.001 - Mimikatz / ProcDump]
F --> J[DCSync<br/>T1003.006 - Replicação AD]
F --> K[NTDS.dit<br/>T1003.003 - Volume Shadow Copy]
G --> L[SAM Dump<br/>T1003.002 - reg save + secretsdump]
G --> M[LSA Secrets<br/>T1003.004 - Credenciais de serviço]
H --> N[/etc/shadow<br/>T1003.008 - hashes locais]
H --> O[Proc Filesystem<br/>T1003.007 - /proc/PID/mem]
I --> P[Hashes NTLM / Texto Claro<br/>Tickets Kerberos]
J --> P
K --> P
L --> P
M --> P
N --> P
O --> P
P --> Q[Pass-the-Hash / Pass-the-Ticket<br/>Cracking Offline com Hashcat]
Q --> R[Movimentação Lateral<br/>T1021 - SMB / WMI / RDP / SSH]
R --> S[Comprometimento Total<br/>Domain Admin / Root em todos os sistemas]
S --> T{Objetivo Final}
T --> U[Ransomware<br/>Criptografia de domínio inteiro]
T --> V[Espionagem<br/>Exfiltração de dados sensíveis]
T --> W[Persistência Long-Term<br/>Golden Ticket / Skeleton Key]
```
## Exemplos de Uso
### BlackByte Ransomware - Ataques no Brasil
O grupo [[g1043-blackbyte|BlackByte]], operação de Ransomware-as-a-Service (RaaS) ativa desde 2021, tem realizado ataques contra organizações brasileiras dos setores industrial, financeiro e de saúde. O OS Credential Dumping é parte central de sua métodologia:
1. Acesso inicial via vulnerabilidades em servidores VPN/Exchange expostos
2. Escalada de privilégios para Domain Admin
3. **Dump de LSASS** com Mimikatz para obter credenciais de administrador de domínio
4. **DCSync** para extrair hashes de todas as contas do AD
5. Deploy do ransomware via GPO (Group Policy Object) em todos os endpoints do domínio
Organizações brasileiras do setor de saúde e manufatura foram reportadas como vítimas em 2023-2024.
### APT28 (Fancy Bear) - Operações de Espionagem
O [[g0007-apt28|APT28]], grupo APT atribuído ao GRU russo, utiliza OS Credential Dumping como técnica central em operações de espionagem de longo prazo. Métodos documentados incluem:
- **X-Agent** e **Sofacy** com módulos de dumping de credenciais
- DCSync para extrair credenciais de domínio em organizações-alvo sem deixar rastros no sistema de arquivos
- Uso de credenciais legítimas roubadas para acesso persistente por meses ou anos
### Ember Bear (GRU Unit 29155) - Ataques na Europa Oriental
O [[g1003-ember-bear|Ember Bear]], também atribuído ao GRU russo, combina OS Credential Dumping com wipers destrutivos. O padrão observado em ataques a infraestrutura crítica ucraniana inclui extração massiva de credenciais para garantir acesso máximo antes de operações destrutivas.
### Carbanak - Ataques ao Setor Financeiro LATAM
O [[g0008-carbanak|Carbanak]], um dos malwares financeiros mais sofisticados já documentados, utilizou extensivamente dumping de credenciais para mover-se lateralmente dentro de redes bancárias. Bancos brasileiros e latino-americanos foram alvos confirmados em operações Carbanak/Cobalt Group.
### APT32 (OceanLotus) - Espionagem Regional
O [[g0050-apt32|APT32]], grupo vietnamita com histórico de ataques a organizações no Sudeste Asiático e América Latina, utiliza dumping de credenciais como passo obrigatório em intrusões prolongadas, especialmente em redes corporativas com Active Directory.
### Poseidon Group - Ameaça com Foco em Brasil
O [[g0033-poseidon-group|Poseidon Group]] é notável por ser um dos poucos grupos APT com foco documentado em organizações brasileiras. Ativo desde pelo menos 2005, o grupo utiliza OS Credential Dumping para:
- Acessar sistemas de e-mail corporativo
- Comprometer infraestrutura de telecomúnicações
- Realizar espionagem industrial e governamental
## Detecção
### Sigma Rule - Dump de LSASS via ProcDump ou comsvcs.dll
```yaml
title: LSASS Memory Dump via ProcDump or comsvcs.dll
status: experimental
description: >
Detecta tentativas de dump da memória do processo LSASS usando
ferramentas legítimas (ProcDump) ou via rundll32 com comsvcs.dll.
Técnica extremamente comum em ransomware e operações APT.
logsource:
category: process_creation
product: windows
detection:
selection_procdump:
Image|endswith: '\procdump.exe'
CommandLine|contains: 'lsass'
selection_comsvcs:
Image|endswith: '\rundll32.exe'
CommandLine|contains:
- 'comsvcs'
- 'MiniDump'
selection_mimikatz_cmd:
CommandLine|contains:
- 'sekurlsa::logonpasswords'
- 'lsadump::sam'
- 'lsadump::dcsync'
condition: 1 of selection_*
falsepositives:
- Administradores realizando análise de dump para troubleshooting
- Ferramentas de diagnóstico corporativas
level: critical
tags:
- attack.credential_access
- attack.t1003.001
```
### Sigma Rule - DCSync via replicação AD
```yaml
title: DCSync Attack - Active Directory Replication from Non-DC
status: experimental
description: >
Detecta operações de replicação DCSync originadas de hosts que não
são Domain Controllers. Altamente suspeito e raramente legítimo.
logsource:
category: ds_access
product: windows
service: security
detection:
selection:
EventID: 4662
Properties|contains:
- '1131f6aa-9c07-11d1-f79f-00c04fc2dcd2'
- '1131f6ad-9c07-11d1-f79f-00c04fc2dcd2'
- '89e95b76-444d-4c62-991a-0facbeda640c'
filter_dc:
SubjectUserName|endswith: '