# T1552.001 - Credentials In Files ## Técnica Pai Esta é uma sub-técnica de [[t1552-unsecured-credentials|T1552 - T1552 - Unsecured Credentials]]. ## Descrição Credenciais armazenadas em texto claro ou de forma insegura em arquivos são um dos vetores de escalada de privilégio e movimentação lateral mais explorados por adversários. A técnica **T1552.001 - Credentials In Files** cobre a busca sistemática em sistemas de arquivos locais, compartilhamentos de rede e repositórios de código por arquivos que contenham senhas, tokens, chaves de API ou outros segredos de autenticação. Isso inclui arquivos criados manualmente por usuários para memorizar senhas, arquivos de configuração de aplicações e serviços, backups de banco de dados, e código-fonte com credenciais hardcoded - prática ainda alarmantemente comum em equipes de desenvolvimento sem cultura de segurança estabelecida. Em ambientes Windows corporativos, credenciais podem estar presentes em scripts `.bat` e `.ps1` legados, arquivos `web.config`, `appsettings.json`, histórico de sessões de clientes de banco de dados, e GPP (Group Policy Preferences) armazenadas no SYSVOL de controladores de domínio. Em ambientes Linux e macOS, os alvos mais comuns são arquivos `.bash_history`, `.netrc`, `~/.ssh/id_rsa`, arquivos de configuração de clientes como `.aws/credentials`, e variáveis de ambiente exportadas em scripts de inicialização. Em contêineres e ambientes IaaS, credenciais aparecem frequentemente como parâmetros de deploy logados, secrets mal configurados e variáveis de ambiente expostas em imagens Docker. **Contexto Brasil/LATAM:** O grupo [[g1039-redcurl|RedCurl]] - especializado em espionagem corporativa com múltiplas vítimas documentadas na América Latina - usa busca por credenciais em arquivos como etapa central de sua cadeia de ataque pós-acesso inicial. No Brasil, a proliferação de sistemas legados em setores como [[financial]], [[government]] e [[healthcare]] cria um ecossistema fértil para esta técnica: scripts de integração entre sistemas com décadas de uso frequentemente carregam credenciais hardcoded que nunca foram rotacionadas. O [[ta505|TA505]], responsável por distribuição de [[s0367-emotet|Emotet]] e [[smoke-loader|Smoke Loader]], também usa o acesso a arquivos de credenciais para comprometer contas de serviço e amplificar o impacto de campanhas de ransomware no país. ## Attack Flow ```mermaid graph TB A([Acesso Inicial]) --> B([Execução de Implante]) B --> C([Busca por Arquivos de Credenciais]):::highlight C --> D([Coleta e Exfiltração de Credenciais]):::highlight D --> E([Movimentação Lateral / Escalada]) classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona ### 1. Preparação Após estabelecer o acesso inicial, o adversário enumera o sistema em busca de arquivos que possam conter credenciais. Ferramentas como [[s0349-lazagne|LaZagne]] automatizam essa busca em dezenas de aplicações - navegadores, clientes de e-mail, clientes FTP, ferramentas de desenvolvimento, carteiras de criptomoedas. Em ambientes Windows, comandos como `findstr /si "password" *.xml *.ini *.txt *.config` ou buscas no registro de GPP são pontos de partida comuns. Em Linux, `grep -r "password" /etc/ /home/ /var/` e a leitura de `.bash_history` frequentemente revelam credenciais expostas por administradores desatentos. ### 2. Execução O adversário acessa e lê os arquivos identificados, extraindo credenciais para uso imediato ou posterior. Ferramentas como [[s0192-pupy|Pupy]], [[s0363-empire|Empire]] e [[s0378-poshc2|PoshC2]] possuem módulos dedicados a essa busca. Em ambientes cloud e de contêineres, a leitura de variáveis de ambiente (`env`, `printenv`) e de arquivos de configuração de SDKs (`~/.aws/credentials`, `~/.kube/config`, `~/.docker/config.json`) é realizada pelos implantes de forma automática como parte da fase de reconhecimento pós-acesso. Credenciais de banco de dados encontradas em arquivos de configuração de aplicações web são particularmente valiosas, pois frequentemente possuem permissões elevadas. ### 3. Pós-execução As credenciais coletadas são usadas para autenticação lateral em outros sistemas da rede, acesso a sistemas de e-mail e colaboração, ou para autenticação em serviços de nuvem com acesso a dados sensíveis. O adversário pode também testar as credenciais contra serviços externos (password spraying) caso suspeite que a senha sejá reutilizada em contas corporativas ou pessoais. Em organizações sem rotação periódica de senhas - cenário comum no setor público brasileiro - uma única credencial encontrada em arquivo pode garantir acesso prolongado sem necessidade de novas técnicas de exploração. ## Detecção **Event IDs relevantes (Windows):** | Event ID | Canal | O que monitorar | |----------|-------|-----------------| | 4663 | Security | Acesso a arquivos `*.config`, `*.ini`, `*.xml`, `*.json` em pastas de aplicações por processos inesperados | | 4688 | Security | Execução de `findstr.exe` com argumentos contendo "password", "passwd", "credential" | | 1 (Sysmon) | Microsoft-Windows-Sysmon | Execução de `LaZagne.exe` ou processos com hash correspondente a ferramentas conhecidas de dumping | | 11 (Sysmon) | Microsoft-Windows-Sysmon | Criação de arquivos de output em `%TEMP%` por processos que acabaram de acessar múltiplos arquivos de configuração | | 4698 | Security | Criação de tarefas agendadas por conta de serviço - indicativo de uso de credencial exfiltrada para persistência | **Sigma Rule:** ```yaml title: Credentials In Files - Suspicious Search via findstr id: c2a8f5e3-1d7b-4c9e-b3a2-4e5f7c8d1b2e status: experimental description: > Detecta uso do comando findstr buscando por termos relacionados a credenciais em arquivos de configuração - padrão de T1552.001 frequentemente observado em etapas pós-acesso de campanhas APT e ransomware. references: - https://attack.mitre.org/techniques/T1552/001/ author: RunkIntel daté: 2026-03-24 tags: - attack.credential_access - attack.t1552.001 logsource: product: windows category: process_creation detection: selection_findstr: Image|endswith: '\findstr.exe' CommandLine|contains: - 'password' - 'passwd' - 'credential' - 'secret' - 'api_key' - 'token' selection_extensions: CommandLine|contains: - '.xml' - '.ini' - '.config' - '.json' - '.txt' - '.ps1' - '.bat' filter_legit: ParentImage|contains: - '\Program Files\' - '\Windows\system32\msiexec.exe' condition: selection_findstr and selection_extensions and not filter_legit falsepositives: - Scripts de auditoria interna legítimos - Ferramentas de SAST/DAST em pipelines de CI/CD level: high ``` ## Mitigação | Controle | Mitigação MITRE | Recomendação para Organizações Brasileiras | |----------|----------------|-------------------------------------------| | Treinamento de usuários e desenvolvedores | [[m1017-user-training\|M1017 - User Training]] | Incluir "não hardcode credenciais" como item obrigatório em treinamentos de desenvolvimento seguro - exigido por frameworks do BACEN e LGPD | | Auditoria periódica de repositórios e sistemas | [[m1047-audit\|M1047 - Audit]] | Executar varreduras regulares com ferramentas como `truffleHog` ou `gitleaks` em repositórios Git internos; prioridade em empresas com times de dev sem security champion | | Permissões restritivas em arquivos de configuração | [[m1022-restrict-file-and-directory-permissions\|M1022 - Restrict File and Directory Permissions]] | Garantir que arquivos `*.config`, `*.ini` e `.env` tenham permissões mínimas (chmod 600 em Linux; ACLs restritas no Windows) e não sejam acessíveis a contas de serviço sem necessidade | | Políticas de senhas e segredos | [[m1027-password-policies\|M1027 - Password Policies]] | Adotar cofre de senhas (HashiCorp Vault, AWS Secrets Manager, Azure Key Vault) para eliminar credenciais em arquivos - essencial para aténder requisitos de Resolução BACEN 4.658 | | Monitoramento de acesso a arquivos sensíveis | [[m1047-audit\|M1047 - Audit]] | Habilitar SACL (System Access Control List) em arquivos de configuração críticos e centralizar logs no SIEM - prática mandatória em infraestrutura bancária brasileira | ## Threat Actors - [[g0064-apt33|APT33]] - APT iraniano (Refined Kitten) que busca credenciais em arquivos de configuração de sistemas ICS/SCADA e plataformas de energia em campanhas de espionagem industrial. - [[g0117-fox-kitten|Fox Kitten]] - cluster iraniano que extrai credenciais de arquivos de configuração de VPNs e equipamentos de rede para obter acesso persistente a infraestruturas críticas. - [[ta505|TA505]] - grupo de cibercrime prolífico que usa acesso a credenciais em arquivos como etapa de enriquecimento em campanhas de distribuição de ransomware no Brasil e América Latina. - [[g1016-fin13|FIN13]] - grupo financeiro focado em LATAM que exfiltra credenciais de sistemas bancários encontradas em arquivos de configuração de middleware e integrações legadas. - [[g0119-indrik-spider|Indrik Spider]] - operador do ransomware WastedLocker/Hades que usa credenciais encontradas em arquivos para escalar privilégios antes da criptografia em massa. - [[g0022-apt3|APT3]] - APT chinês (Gothic Panda) que coleta credenciais em arquivos de configuração como parte de campanhas de espionagem contra governo e defesa. - [[g0077-leafminer|Leafminer]] - grupo iraniano que varre sistemas por credenciais em arquivos em campanhas de espionagem no Oriente Médio e América Latina. - [[g0094-kimsuky|Kimsuky]] - APT norte-coreano que extrai credenciais de documentos, histórico de terminal e arquivos de configuração em campanhas de espionagem política. - [[g1039-redcurl|RedCurl]] - grupo de espionagem corporativa com vítimas documentadas no Brasil que coleta credenciais de arquivos como etapa central de suas campanhas de roubo de informações. - [[g0049-oilrig|OilRig]] - APT iraniano que usa busca por credenciais em arquivos como parte do ciclo de reconhecimento pós-comprometimento em campanhas de espionagem prolongadas. ## Software Associado - [[s0117-xtunnel|XTunnel]] - implante APT que coleta credenciais de arquivos de configuração de VPN e clientes SSH durante a fase de reconhecimento. - [[s0192-pupy|Pupy]] - framework RAT open source com módulo dedicado à busca de credenciais em arquivos de aplicações e sistemas operacionais. - [[s0367-emotet|Emotet]] - malware loader distribuído pelo TA505 com módulo de credential harvesting que varre arquivos do navegador e clientes de e-mail. - [[s0378-poshc2|PoshC2]] - framework C2 PowerShell com módulos para busca de credenciais em arquivos de configuração, histórico de PowerShell e GPP. - [[smoke-loader|Smoke Loader]] - loader malicioso com plugin de extração de credenciais de arquivos de navegadores e clientes FTP. - [[s0331-agent-tesla|Agent Tesla]] - RAT amplamente usado no Brasil que exfiltra credenciais de dezenas de aplicações, incluindo arquivos de configuração de clientes FTP e e-mail. - [[s0349-lazagne|LaZagne]] - ferramenta de recuperação de senhas open source abusada por adversários para varrer credenciais em mais de 60 categorias de software. - [[s0363-empire|Empire]] - framework C2 PowerShell com módulos de coleta de credenciais em arquivos, GPP e histórico de sessões. - [[s0344-azorult|Azorult]] - malware stealer que extrai sistematicamente credenciais de arquivos de navegadores, carteiras cripto e clientes FTP. - [[s0583-pysa|Pysa]] - operadora de ransomware que usa credenciais obtidas de arquivos para escalar privilégios e implantar ransomware em redes corporativas. --- *Fonte: [MITRE ATT&CK - T1552.001](https://attack.mitre.org/techniques/T1552/001)*