# T1552.002 - Credentials in Registry > [!info] Técnica MITRE ATT&CK > **ID:** T1552.002 | **Tática:** Credential Access | **Plataforma:** Windows > **Técnica pai:** [[t1552-unsecured-credentials|T1552 - Unsecured Credentials]] ## Descrição Adversários podem pesquisar o Registro do Windows em sistemas comprometidos em busca de credenciais armazenadas de forma insegura. O Registro do Windows é um banco de dados hierárquico que armazena configurações do sistema operacional, aplicativos e hardware. Muitas aplicações legadas e ferramentas de automação guardam senhas em texto simples ou em formatos facilmente decodificáveis dentro de chaves de registro, criando um vetor de coleta de credenciais frequentemente explorado por agentes de ameaça. Essa sub-técnica pertence ao grupo [[t1552-unsecured-credentials|T1552 - Unsecured Credentials]] e é especialmente relevante em ambientes Windows corporativos onde softwares como clientes VPN, aplicações de backup, ferramentas de gerenciamento remoto e suítes de automação frequentemente persistem credenciais no registro para facilitar logins automáticos. Grupos como [[g0050-apt32|APT32]] (OceanLotus) e [[g1039-redcurl|RedCurl]] documentadamente utilizam essa técnica durante a fase de reconhecimento pós-comprometimento, frequentemente combinada com outras técnicas de coleta como [[t1003-os-credential-dumping|T1003 - OS Credential Dumping]] e [[t1555-credentials-from-password-stores|T1555 - Credentials from Password Stores]]. > [!warning] Relevância Operacional > Credenciais encontradas no registro frequentemente pertencem a contas de serviço com privilégios elevados, tornando esta técnica especialmente valiosa para movimentação lateral e escalada de privilégios subsequentes. ## Como Funciona O ataque se baseia no fato de que o Registro do Windows é acessível a qualquer processo com permissões adequadas, e muitas aplicações armazenam senhas sem cifragem robusta. O adversário tipicamente executa consultas no registro após obter acesso inicial ao sistema. ### Chaves de Registro de Alto Interesse As chaves mais frequentemente pesquisadas por adversários incluem: **Credenciais de aplicações comuns:** - `HKLM\SOFTWARE\RealVNC\WinVNC4` - senhas VNC em formato cifrado fraco - `HKLM\SOFTWARE\TightVNC\Server` - configurações de senha TightVNC - `HKCU\Software\SimonTatham\PuTTY\Sessions` - chaves e configurações de sessões SSH - `HKLM\SOFTWARE\ORL\WinVNC3` - senhas VNC versão 3 - `HKCU\Software\Policies\Microsoft\Windows\Installer` - credenciais de instalação - `HKLM\SYSTEM\CurrentControlSet\Services\SNMP` - strings de comunidade SNMP **Credenciais de dial-up e VPN:** - `HKLM\SYSTEM\CurrentControlSet\Services\RasMan\Credentials` - `HKCU\Software\Microsoft\RAS Phonebook` **AutoLogon do Windows:** - `HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon` - campos `DefaultUserName`, `DefaultPassword`, `AutoAdminLogon` ### Métodos de Execução O adversário pode usar diversas abordagens para consultar o registro: **Via linha de comando nativa (ferramenta [[s0075-reg|Reg]]):** ``` reg query HKLM /f password /t REG_SZ /s reg query HKCU /f password /t REG_SZ /s reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" ``` **Via PowerShell:** ```powershell Get-ItemProperty "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" Get-ChildItem -Path HKCU:\ -Recurse | Where-Object {$_.Name -like "*password*"} ``` **Via frameworks de pós-exploração:** Ferramentas como [[s0194-powersploit|PowerSploit]] (módulo `Get-RegistryAutoLogon`), [[s1022-iceapple|IceApple]], e outros frameworks automatizam a busca e extração dessas credenciais. **Via malware especializado:** Famílias como [[s0266-trickbot|TrickBot]], [[s0476-valak|Valak]], [[s1183-strelastealer|StrelaStealer]] e [[s0331-agent-tesla|Agent Tesla]] incluem módulos dedicados à extração de credenciais do registro como parte de seus fluxos de coleta de informações. ## Attack Flow ```mermaid graph TB A["Acesso Inicial<br/>Phishing / Exploit"] --> B["Execução de Código<br/>cmd.exe / PowerShell"] B --> C["Descoberta do Ambiente<br/>T1082 - System Info"] C --> D["Consulta ao Registro<br/>reg query / Get-ItemProperty"] D --> E{"Credenciais<br/>Encontradas?"} E -->|Sim| F["Extração de Credenciais<br/>Texto claro ou cifrado fraco"] E -->|Não| G["Busca Ampliada<br/>Outras chaves / hives"] G --> D F --> H["Decodificação / Decifração<br/>Reversão de encoding"] H --> I["Movimentação Lateral<br/>T1021 - Remote Services"] I --> J["Escalada de Privilégios<br/>T1078 - Valid Accounts"] J --> K["Objetivos do Adversário<br/>Exfiltração / Persistência"] ``` ## Exemplos de Uso ### APT32 (OceanLotus) O grupo vietnamita [[g0050-apt32|APT32]], associado a operações de espionagem cibernética contra alvos no Sudeste Asiático e empresas multinacionais, documenta o uso de consultas ao registro como parte de seu kit de ferramentas de reconhecimento pós-comprometimento. O grupo frequentemente utiliza scripts PowerShell ofuscados para varrer chaves de registro em busca de credenciais de aplicações corporativas como clientes VPN e ferramentas de gestão. ### RedCurl O grupo [[g1039-redcurl|RedCurl]], especializado em espionagem corporativa e focado em exfiltração de documentos confidenciais, utiliza [[t1552-002-credentials-in-registry|T1552.002]] como parte de uma cadeia sofisticada de coleta de credenciais. O grupo combina essa técnica com phishing direcionado e é conhecido por atacar empresas no Brasil, Rússia, Reino Unido e Canadá - com implicações diretas para organizações LATAM. ### Cenário Típico - Autologon Exposto Um dos cenários mais comuns em ambientes corporativos brasileiros envolve estações de trabalho configuradas com AutoLogon habilitado para facilitar kiosks ou estações de operação industrial. A chave `HKLM\...\Winlogon` contendo `DefaultPassword` em texto claro é frequentemente encontrada em: - Terminais de ponto de venda (PDV) - Estações de chão de fábrica (OT/ICS) - Quiosques de aténdimento ao público - Laboratórios de treinamento corporativo ## Detecção ### Estrategias de Detecção **1. Monitoramento de Acesso ao Registro** Habilitar auditoria de acesso ao registro para chaves sensíveis via Group Policy (`SACL - System Access Control List`). **2. Detecção de Processos Suspeitos** Monitorar execução de `reg.exe` com argumentos contendo strings como `password`, `passwd`, `credentials`, especialmente por processos não esperados. **3. Análise Comportamental** Detectar padrões de enumeração massiva do registro - múltiplas consultas recursivas em curto intervalo de tempo. ### Regra Sigma - Busca de Senhas no Registro ```yaml title: Adversary Credential Search in Windows Registry status: experimental description: Detecta busca de credenciais no Registro do Windows via reg.exe ou PowerShell logsource: category: process_creation product: windows detection: selection_reg: Image|endswith: '\reg.exe' CommandLine|contains: - '/f password' - '/f passwd' - '/f credentials' - '/f autologon' selection_ps: Image|endswith: - '\powershell.exe' - '\pwsh.exe' CommandLine|contains: - 'Winlogon' - 'DefaultPassword' - 'RasMan\Credentials' - 'WinVNC' - 'TightVNC' condition: selection_reg or selection_ps level: high tags: - attack.credential_access - attack.t1552.002 falsepositives: - Ferramentas legítimas de auditoria de segurança - Scripts de TI para verificação de configuração ``` ### Regra Sigma - Acesso à Chave AutoLogon ```yaml title: Access to AutoLogon Registry Key status: experimental description: Detecta acesso à chave de registro AutoLogon que pode conter senha em texto claro logsource: category: registry_event product: windows detection: selection: EventType: QueryValue TargetObject|contains: - '\CurrentVersion\Winlogon\DefaultPassword' - '\CurrentVersion\Winlogon\AutoAdminLogon' filter_legitimate: Image|contains: - '\Windows\System32\' - '\Windows\SysWOW64\' condition: selection and not filter_legitimate level: high tags: - attack.credential_access - attack.t1552.002 ``` ### Fontes de Log Recomendadas | Fonte | Evento | Descrição | |-------|--------|-----------| | Windows Security | 4663 | Tentativa de acesso a objeto (registro) | | Windows Security | 4656 | Pedido de handle para objeto | | Sysmon | Event ID 13 | RegistryEvent (Set Value) | | Sysmon | Event ID 12 | RegistryEvent (Creaté/Delete) | | PowerShell | 4104 | Script block logging | | EDR | Process Creation | Execução de reg.exe com argumentos suspeitos | ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1027 | [[m1027-password-policies\|M1027 - Password Policies]] | Proibir o armazenamento de senhas em texto claro ou com cifração reversível no registro. Auditar aplicações que exijam esse comportamento e migrar para métodos seguros. | | M1026 | [[m1026-privileged-account-management\|M1026 - Privileged Account Management]] | Restringir acesso de leitura a chaves de registro sensíveis via ACLs. Garantir que apenas processos necessários tenham permissão de leitura em hives críticos. | | M1047 | [[m1047-audit\|M1047 - Audit]] | Realizar auditorias periódicas do registro em busca de senhas armazenadas de forma insegura, especialmente em chaves de AutoLogon, VNC e ferramentas de acesso remoto. | ### Controles Adicionais Recomendados > [!tip] Hardening Prioritário > 1. **Desativar AutoLogon** em todas as estações que não sejam absolutamente necessárias (kiosks, terminais dedicados) > 2. **Migrar softwares legados** que armazenam senhas no registro para alternativas com gerenciamento seguro de credenciais (Windows Credential Manager, CyberArk, etc.) > 3. **Configurar SACLs** nas chaves de registro sensíveis para gerar eventos de auditoria ao acesso > 4. **Implementar EDR** com capacidade de detectar acesso anômalo ao registro ## Contexto Brasil/LATAM ### Prevalência Regional A técnica T1552.002 tem relevância particular no contexto brasileiro e latino-americano por múltiplos fatores: **Infraestrutura legada:** O setor financeiro, industrial e de varejo brasileiro mantém uma proporção elevada de sistemas legados que dependem de mecanismos de autologon e armazenamento de credenciais no registro. Pesquisas de campo indicam que uma parcela significativa das estações de trabalho corporativas no Brasil ainda opera com configurações de AutoLogon habilitadas. **Setor financeiro como alvo prioritário:** Grupos como [[g0050-apt32|APT32]] e [[g1039-redcurl|RedCurl]] documentaram interesse em alvos brasileiros no setor [[_sectors|financeiro]] e corporativo. A combinação de infraestrutura legada com o alto valor econômico dos alvos torna o Brasil especialmente vulnerável. **Indústria e setor de energia:** Ambientes OT/ICS no Brasil, incluindo refinarias, distribuidoras de energia elétrica e plantas industriais, frequentemente operam com sistemas Windows embarcados configurados com AutoLogon - uma superfície de ataque diretamente explorada por essa técnica. **Campanhas de ransomware:** Grupos de ransomware ativos no Brasil, como variantes do [[lockbit|LockBit]] e [[black-basta|Black Basta]], utilizam essa técnica como parte do kit de movimentação lateral durante operações de dupla extorsão, com múltiplos incidentes documentados envolvendo empresas brasileiras de médio e grande porte. ### Incidentes Regionais Relevantes - **2023-2024:** Campanha [[g1039-redcurl|RedCurl]] com alvos em empresas brasileiras do setor jurídico e de consultoria, utilizando T1552.002 combinado com spear-phishing via documentos maliciosos - **2024:** Múltiplos incidentes de ransomware no setor industrial brasileiro onde credenciais extraídas do registro foram usadas para movimentação lateral antes do deploy do payload final > [!note] Recomendação para Defensores Brasileiros > Priorizar a auditoria de chaves de AutoLogon e chaves de aplicações VNC/acesso remoto em ambientes com histórico de uso de sistemas legados. Implementar monitoramento via Sysmon + SIEM para detectar enumeração massiva do registro. ## Software Associado | Ferramenta / Malware | Tipo | Uso | |----------------------|------|-----| | [[s0075-reg\|Reg]] | Ferramenta nativa | Consulta direta via linha de comando | | [[s0194-powersploit\|PowerSploit]] | Framework ofensivo | Módulo `Get-RegistryAutoLogon` | | [[s1022-iceapple\|IceApple]] | Malware / Framework | Coleta de credenciais pós-comprometimento | | [[s1183-strelastealer\|StrelaStealer]] | Malware / Stealer | Extração de credenciais de múltiplas fontes | | [[s0266-trickbot\|TrickBot]] | Malware / Banker | Módulo de coleta de credenciais do registro | | [[s0476-valak\|Valak]] | Malware / Loader | Módulo de reconhecimento pós-comprometimento | | [[s0331-agent-tesla\|Agent Tesla]] | RAT / Stealer | Varredura de credenciais em múltiplos armazenamentos | ## Referências - [MITRE ATT&CK - T1552.002 Credentials in Registry](https://attack.mitre.org/techniques/T1552/002) - [Microsoft - Registry (Windows)](https://docs.microsoft.com/en-us/windows/win32/sysinfo/registry) - [Sigma Rule Repository - Registry Credential Access](https://github.com/SigmaHQ/sigma) - [RedCurl - The Pentest You Didn't Know About (Group-IB)](https://www.group-ib.com/resources/threat-research/2020/RedCurl-the-pentest-you-didnt-know-about/) - [APT32 / OceanLotus Profile (FireEye/Mandiant)](https://attack.mitre.org/groups/G0050/) - [CISA - Securing Windows Workstations](https://www.cisa.gov/resources-tools/resources/security-configuration-guide) - [Sysmon Configuration for Registry Monitoring](https://github.com/SwiftOnSecurity/sysmon-config) --- *Fonte: [MITRE ATT&CK - T1552.002](https://attack.mitre.org/techniques/T1552/002)*