# T1555.004 - Windows Credential Manager ## Descrição Adversários podem obter credenciais armazenadas no Windows Credential Manager, um componente nativo do sistema operacional Windows que gerencia credenciais de autenticação para sites, aplicações e dispositivos de rede. O Credential Manager atua como um cofre integrado ao sistema, armazenando credenciais que o usuário optou por salvar ao acessar recursos que exigem autenticação via NTLM ou Kerberos - eliminando a necessidade de reinserir senhas manualmente a cada acesso. O Windows Credential Manager organiza as credenciais em dois cofres (Credential Lockers) distintos: 1. **Web Credentials:** Gerencia credenciais de sites acessados pelo Internet Explorer e Microsoft Edge. Inclui logins salvos de portais corporativos, intranets e serviços web internos. 2. **Windows Credentials:** Armazena credenciais de aplicações desktop, compartilhamentos de rede (SMB), servidores de e-mail (Outlook/Exchange), sessões RDP salvas, e credenciais de autenticação de domínio delegadas. As credenciais são armazenadas em arquivos `.vcrd` criptografados, localizados em `%Systemdrive%\Users\[Username]\AppData\Local\Microsoft\[Vault/Credentials]\`. A chave de criptografia fica armazenada no arquivo `Policy.vpol`, geralmente na mesma pasta - o que significa que o processo de decriptação pode ocorrer no contexto do usuário autenticado, sem necessidade de privilégios adicionais para as credenciais do próprio usuário. Esta técnica é uma sub-técnica de [[t1555-credentials-from-password-stores|T1555 - Credentials from Password Stores]] e é amplamente utilizada por grupos APT e operadores de ransomware por sua capacidade de recuperar credenciais de alto valor - especialmente credenciais de RDP e VPN salvas em estações de trabalho corporativas, que são valiosas para movimentação lateral. Grupos como [[g0049-oilrig|OilRig]] (APT34, vinculado ao Irã), [[g0010-turla|Turla]] (vinculado à Rússia/FSB), [[g0102-conti-group|Wizard Spider]] (operador do [[s0446-ryuk|Ryuk]] e [[conti|Conti]] ransomware) e [[g0038-stealth-falcon|Stealth Falcon]] documentadamente utilizam esta técnica em suas operações. > **Técnica pai:** [[t1555-credentials-from-password-stores|T1555 - Credentials from Password Stores]] > **Tática:** [[_credential-access|Credential Access]] --- ## Como Funciona ### Mecanismo nativo - vaultcmd.exe O executável `vaultcmd.exe` é um binário legítimo do Windows que permite gerenciar o Credential Manager via linha de comando. Por ser um binário nativo (LOLBin - Living off the Land Binary), não é bloqueado por antivírus e gera menos alertas: ```cmd REM Listar todos os cofres disponíveis vaultcmd.exe /listcreds:"Windows Credentials" /all REM Listar credenciais web vaultcmd.exe /listcreds:"Web Credentials" REM Exportar backup do cofre vaultcmd.exe /backup /schema ``` ### API do Windows - CredEnumerateA/W Adversários podem abusar das APIs nativas do Windows para enumerar credenciais programaticamente: ```c // Chamadas de API abusadas CredEnumerateA() // Enumera todas as credenciais do usuário atual CredReadA() // Lê uma credencial específica CredFree() // Libera memória (usada em conjunto) ``` Ferramentas como [[mimikatz|Mimikatz]] e [[s0194-powersploit|PowerSploit]] implementam essas chamadas para extrair credenciais em texto claro diretamente da memória ou do armazenamento. ### Leitura direta de arquivos .vcrd Adversários com acesso ao sistema de arquivos podem copiar os arquivos `.vcrd` e `Policy.vpol` para descriptografia offline: ```powershell # Localizar arquivos de credencial $credPath = "$env:LOCALAPPDATA\Microsoft\Credentials" $vaultPath = "$env:LOCALAPPDATA\Microsoft\Vault" Get-ChildItem $credPath -Force Get-ChildItem $vaultPath -Force -Recurse # Copiar para exfiltração Copy-Item $credPath -Destination "C:\temp\" -Recurse ``` ### Backup e restauração via RunDLL32 Uma técnica documentada utiliza o mecanismo nativo de backup do Credential Manager: ```cmd rundll32.exe keymgr.dll KRShowKeyMgr ``` Este comando abre a interface gráfica de "Stored User Names and Passwords", de onde é possível exportar um backup. Em ataques automatizados, o backup pode ser disparado silenciosamente via scripting. ### Ferramentas especializadas Diversas ferramentas públicas automatizam a extração: | Ferramenta | Tipo | Capacidade | |------------|------|-----------| | [[mimikatz\|Mimikatz]] | Dual-use | `sekurlsa::credman` - extrai do LSASS | | [[s0349-lazagne\|LaZagne]] | Dual-use | Módulo `credman` - lê via API | | [[s0194-powersploit\|PowerSploit]] | Framework | `Get-VaultCredential` | | [[s0692-silenttrinity\|SILENTTRINITY]] | C2 Framework | Módulo de credential dumping | | [[s0476-valak\|Valak]] | Malware | Módulo dedicado ao Credential Manager | | [[s0240-rokrat\|ROKRAT]] | RAT | Coleta credenciais automaticamente | --- ## Attack Flow ```mermaid graph TB A[Acesso Inicial ao Sistema Windows] --> B[Execução de código no contexto do usuário] B --> C{Nível de privilégio} C --> D[Usuário padrão] C --> E[Administrador Local / SYSTEM] D --> F[Enumeração via vaultcmd.exe] D --> G[Chamadas CredEnumerateA via API] D --> H[Leitura de arquivos vcrd do usuário] E --> I[Extração via Mimikatz sekurlsa] E --> J[Dump de LSASS para credenciais cached] E --> K[Acesso a credenciais de outros usuários] F --> L[Lista de credenciais salvas identificadas] G --> L H --> L I --> L J --> L K --> L L --> M{Tipo de credencial obtida} M --> N[Credenciais RDP salvas] M --> O[Credenciais de compartilhamento SMB] M --> P[Credenciais de VPN corporativa] M --> Q[Tokens de autenticação web] N --> R[Movimentação lateral via RDP] O --> S[Acesso a shares de rede] P --> T[Acesso à rede corporativa via VPN] Q --> U[Acesso a portais web corporativos] R --> V[Escalada e persistência em outros hosts] S --> V T --> V U --> V ``` --- ## Exemplos de Uso ### Exemplo 1 - OilRig (APT34) em campanhas no Oriente Médio e LATAM O grupo [[g0049-oilrig|OilRig]], vinculado ao governo iraniano e com campanhas documentadas contra setores de energia, governo e telecomúnicações no Oriente Médio e América Latina, utiliza o Windows Credential Manager como um dos vetores de coleta de credenciais em suas operações. Em relatórios públicos da Palo Alto Unit 42 e da Check Point Research, o grupo foi documentado usando ferramentas customizadas que chamam `CredEnumerateA` para extrair credenciais de sessões RDP ativas e VPNs corporativas. ### Exemplo 2 - Wizard Spider e operações de Ransomware O grupo [[g0102-conti-group|Wizard Spider]], operador do ransomware [[s0446-ryuk|Ryuk]] e posteriormente [[conti|Conti]], documentadamente incluía coleta do Windows Credential Manager em sua métodologia pós-exploração. Credenciais de RDP salvas em estações de trabalho permitiam ao grupo movimentar-se lateralmente para servidores de backup e controladores de domínio antes de implantar o ransomware - maximizando o impacto ao garantir que backups fossem cifrados junto com os dados primários. ### Exemplo 3 - Turla e espionagem de longo prazo O grupo [[g0010-turla|Turla]], associado ao FSB russo, usa o Windows Credential Manager como fonte de credenciais em campanhas de espionagem de longo prazo. O grupo é conhecido por permanecer em redes comprometidas por meses ou anos, e a coleta de credenciais armazenadas no Credential Manager permite obter acesso a sistemas legados e recursos de rede que raramente exigem reautenticação. ### Exemplo 4 - Valak malware O malware [[s0476-valak|Valak]], descoberto em 2020, possui um módulo dedicado à extração do Windows Credential Manager. O malware usa chamadas diretas à API do Windows para enumerar e extrair credenciais armazenadas, com foco especial em credenciais de Exchange/Outlook e sharepoints corporativos - fornecendo acesso a comúnicações internas da organização. --- ## Detecção ### Regra Sigma - Execução suspeita de vaultcmd.exe ```yaml title: Uso suspeito de vaultcmd.exe para enumeração de credenciais status: experimental description: > Detecta a execução de vaultcmd.exe com parâmetros de listagem de credenciais, potencialmente indicando tentativa de extração do Windows Credential Manager. logsource: category: process_creation product: windows detection: selection: Image|endswith: '\vaultcmd.exe' CommandLine|contains: - '/listcreds' - '/list' filter_user_interaction: ParentImage|endswith: - '\explorer.exe' - '\cmd.exe' condition: selection and not filter_user_interaction level: high tags: - attack.credential_access - attack.t1555.004 falsepositives: - Scripts de inventário de TI autorizados - Ferramentas de gerenciamento de endpoints ``` ### Regra Sigma - Acesso a arquivos .vcrd ```yaml title: Acesso suspeito a arquivos de credencial do Windows Credential Manager status: experimental logsource: category: file_access product: windows detection: selection: TargetFilename|contains: - '\AppData\Local\Microsoft\Credentials\' - '\AppData\Local\Microsoft\Vault\' TargetFilename|endswith: - '.vcrd' - 'Policy.vpol' filter_system: Image|endswith: - '\lsass.exe' - '\svchost.exe' condition: selection and not filter_system level: high tags: - attack.credential_access - attack.t1555.004 ``` ### Indicadores de Comprometimento (comportamentais) - Execução de `vaultcmd.exe /listcreds` por processo não-interativo - Chamadas a `CredEnumerateA` ou `CredReadA` por processos suspeitos (PowerShell, wscript, scripts de batch) - Acesso a `%LOCALAPPDATA%\Microsoft\Credentials\` por processos fora de `lsass.exe` - Criação de backup do Credential Manager (`rundll32.exe keymgr.dll KRShowKeyMgr`) fora de horário comercial - Execução de Mimikatz com módulo `sekurlsa::credman` detectada por EDR ### Fontes de log recomendadas | Fonte | Configuração | |-------|-------------| | Windows Security Log | Event ID 4663 - Acesso a objetos (auditoria de arquivo habilitada) | | Sysmon | Event ID 11 (FileCreaté) + Event ID 10 (ProcessAccess para LSASS) | | EDR | Alertas de API hooking em CredEnumeraté* | | PowerShell ScriptBlock | Logging habilitado para detectar chamadas a módulos de credential dumping | --- ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1042 | [[m1042-disable-or-remove-feature-or-program\|M1042 - Disable or Remove Feature or Program]] | Em ambientes de alta segurança, considerar a desabilitação ou restrição do Windows Credential Manager via Group Policy. Impedir que usuários salvem credenciais de rede e RDP no Credential Manager pode reduzir a superfície de ataque, ao custo de conveniência operacional. | ### Controles adicionais recomendados - **Implementar Windows Credential Guard** (disponível em Windows 10/11 Enterprise e Windows Server 2016+) - isola o processo LSASS em um container seguro baseado em virtualização, impedindo que ferramentas como Mimikatz extraiam credenciais da memória - **Group Policy - Restrições de Credential Manager:** - `Network access: Do not allow storage of passwords and credentials for network authentication` - impede que credenciais de rede sejam armazenadas - Aplicar via `Computer Configuration > Windows Settings > Security Settings > Local Policies` - **Monitorar e restringir o uso de vaultcmd.exe** via AppLocker ou WDAC (Windows Defender Application Control) - **Privileged Access Workstations (PAW):** contas privilegiadas não devem ter credenciais salvas no Credential Manager de estações de trabalho comuns - **Rotação periódica de credenciais** de sistemas críticos, reduzindo a jánela de uso de credenciais coletadas - **MFA para RDP e VPN:** mesmo que credenciais sejam extraídas, o segundo fator impede o uso direto --- ## Contexto Brasil/LATAM A técnica T1555.004 é altamente relevante para organizações brasileiras e latino-americanas, especialmente considerando o cenário de ransomware e ameaças de nação-estado que afetam a região. ### Ransomware no Brasil e o papel do Credential Manager O Brasil consistentemente figura entre os países mais afetados por ransomware na América Latina. Grupos como [[lockbit|LockBit]], [[blackcat|ALPHV]], e afiliados de operações Ransomware-as-a-Service (RaaS) frequentemente utilizam coleta do Windows Credential Manager como parte do playbook de movimentação lateral. Em incidentes documentados no Brasil, credenciais de RDP e VPN salvas no Credential Manager de estações de trabalho de funcionários em home office permitiram que adversários acessassem redes corporativas e instalações industriais. ### Setor financeiro e credenciais salvas O setor financeiro brasileiro possui uma grande força de trabalho em home office e acesso remoto. A prática comum de salvar credenciais de portais bancários internos, sistemas de câmbio e plataformas de trading no Credential Manager do Windows representa um risco significativo. Em incidentes envolvendo grupos de cibercrime financeiro brasileiro, a extração de credenciais do Credential Manager de gerentes e operadores permitiu transações fraudulentas de alto valor. ### OilRig e infraestrutura crítica brasileira O grupo [[g0049-oilrig|OilRig]], com histórico de ataques a infraestrutura de energia e telecomúnicações, tem presença documentada em campanhas que afetam a América Latina. Empresas do setor de energia elétrica e petróleo no Brasil representam alvos potenciais para grupos patrocinados por estados que buscam credenciais de sistemas SCADA e OT (Operational Technology) que frequentemente são gerenciadas via Windows Credential Manager em estações de trabalho de engenharia. ### Turla e espionagem contra governo brasileiro O grupo [[g0010-turla|Turla]], associado a operações de espionagem russas, tem registro de campanhas contra governos da América Latina. A extração de credenciais de sistemas governamentais via Windows Credential Manager possibilita acesso persistente de longo prazo a sistemas diplomáticos e de inteligência. --- ## Referências - [MITRE ATT&CK - T1555.004](https://attack.mitre.org/techniques/T1555/004) - [Microsoft - Windows Credential Manager Overview](https://support.microsoft.com/en-us/windows/accessing-credential-manager-1b5c916a-6a16-889f-8581-fc16e8165ac0) - [Microsoft - Credential Guard Documentation](https://docs.microsoft.com/en-us/windows/security/identity-protection/credential-guard/credential-guard) - [Unit 42 - OilRig Campaign Analysis](https://unit42.paloaltonetworks.com/oilrig/) - [Mandiant - Wizard Spider / TEMP.MixMaster](https://www.mandiant.com/) - [CERT.br - Incidentes de Ransomware no Brasil](https://www.cert.br/stats/incidentes/) - [[t1555-credentials-from-password-stores|T1555 - Credentials from Password Stores]] (técnica pai) - [[t1555-003-credentials-from-web-browsers|T1555.003 - Credentials from Web Browsers]] (técnica relacionada) - [[t1078-valid-accounts|T1078 - Valid Accounts]] (uso das credenciais obtidas) - [[Windows Admin Shares]] (movimentação lateral com credenciais) - [[mimikatz|Mimikatz]] (ferramenta mais usada para extração) - [[s0349-lazagne|LaZagne]] (ferramenta open-source de recuperação) - [[g0049-oilrig|OilRig]] - grupo APT que usa esta técnica - [[g0010-turla|Turla]] - grupo APT que usa esta técnica - [[g0102-conti-group|Wizard Spider]] - operador de ransomware que usa esta técnica - [[m1042-disable-or-remove-feature-or-program|M1042 - Disable or Remove Feature or Program]]