# T1555.005 - Password Managers > [!info] Técnica MITRE ATT&CK > **ID:** T1555.005 | **Tática:** Credential Access | **Plataformas:** Linux, macOS, Windows > **Técnica pai:** [[t1555-credentials-from-password-stores|T1555 - Credentials from Password Stores]] ## Descrição T1555.005 descreve a técnica pela qual adversários obtêm credenciais de usuários armazenadas em gerenciadores de senhas (*password managers*). Gerenciadores de senhas são aplicações projetadas para armazenar credenciais de forma organizada e segura, tipicamente em um banco de dados criptografado protegido por uma senha mestra (*master password*). Soluções populares incluem 1Password, LastPass, Bitwarden, KeePass, Dashlane e browsers como Google Chrome e Mozilla Firefox, que possuem gerenciadores nativos integrados. Embora esses aplicativos aumentem significativamente a segurança dos usuários ao permitir senhas únicas e complexas para cada serviço, eles também criam um alvo de alto valor para adversários: comprometer o gerenciador de senhas significa potencialmente obter acesso a dezenas ou centenas de credenciais de uma única vítima - credenciais corporativas, bancárias, de e-mail, VPNs, plataformas de nuvem e sistemas críticos de negócio. O acesso às credenciais pode ser obtido por diferentes vetores: extração direta da memória do processo quando o cofre está desbloqueado (o caminho mais comum), roubo do arquivo de banco de dados para quebra offline, exploração de vulnerabilidades no próprio software do gerenciador, ou ataque à senha mestra via força bruta ([[t1110-001-password-guessing|T1110.001 - Password Guessing]]). A técnica é frequentemente combinada com [[t1212-exploitation-for-credential-access|T1212 - Exploitation for Credential Access]] quando o adversário utiliza vulnerabilidades conhecidas para escalada de privilégios necessária ao acesso à memória do processo. --- ## Como Funciona ### Vetores de ataque principais **1. Extração de memória do processo (mais comum)** Quando o usuário desbloqueia o cofre do gerenciador de senhas, as credenciais são temporariamente carregadas em memória em texto claro (ou com criptografia reversível) para permitir preenchimento automático. Um adversário com privilégios suficientes pode usar ferramentas de dumping de memória - como `procdump`, `mimikatz`, ou módulos de leitura de processo - para extrair essas credenciais diretamente do espaço de endereçamento do processo do gerenciador. **2. Roubo de arquivo de banco de dados** Gerenciadores como KeePass armazenam o cofre como arquivo local (`*.kdbx`). Um adversário que obtém acesso ao sistema de arquivos pode copiar esse arquivo e tentar quebrar a senha mestra offline usando ferramentas como `hashcat` ou `john the ripper`. A resistência ao ataque depende diretamente da força da senha mestra escolhida pelo usuário. **3. Exploração de vulnerabilidades no software** Casos reais incluem a vulnerabilidade CVE-2023-32784 no KeePass, que permitia extrair a senha mestra da memória mesmo com o cofre bloqueado através de análise de artefatos de digitação na memória. Adversários com acesso ao sistema podem explorar essas falhas antes que o usuário aplique patches. **4. Credenciais do browser** Navegadores como Chrome e Edge armazenam senhas localmente criptografadas com DPAPI (Windows Data Protection API), vinculadas à conta do usuário. Malwares como [[s0266-trickbot|TrickBot]], [[s1240-redline-stealer|RedLine Stealer]] e [[s1148-raccoon-stealer|Raccoon Stealer]] possuem módulos especializados para descriptografar e exportar essas credenciais aproveitando o contexto de sessão do usuário logado. **5. Ataque à senha mestra** Via [[t1110-001-password-guessing|Password Guessing]] ou dicionários customizados com informações da vítima (OSINT), adversários tentam descobrir a senha mestra. Também é comum o uso de keyloggers ([[t1056-001-keylogging|T1056.001]]) para capturar a senha mestra no momento em que o usuário a digita para desbloquear o cofre. ### Grupos de ameaça que utilizam essa técnica - [[g1015-scattered-spider|Scattered Spider]] - grupo com histórico de ataques de engenharia social e acesso a gerenciadores de senhas corporativas em alvos de telecomúnicações e hospitality. - [[g1004-lapsus|LAPSUS$]] - grupo com operações documentadas no Brasil; usou acesso a gerenciadores de senhas corporativas em múltiplas intrusões de alto perfil (Microsoft, Nvidia, Okta). - [[g1053-storm-0501|Storm-0501]] - operador de ransomware que usa T1555.005 como parte da fase de coleta de credenciais para propagação lateral antes de cifrar dados. - [[g0117-fox-kitten|Fox Kitten]] - APT iraniano que utiliza credenciais de VPN e acesso remoto extraídas de gerenciadores de senhas. - [[g1048-unc3886|UNC3886]] - APT com foco em alvos governamentais e de defesa; documentado usando técnicas de extração de memória em processos de gerenciadores de senhas. --- ## Attack Flow ```mermaid graph TB A["🎯 Acesso Inicial<br/>Phishing, exploit, credencial roubada<br/>ou acesso físico ao dispositivo"] --> B["🔍 Reconhecimento Local<br/>Identificar gerenciadores instalados<br/>1Password, LastPass, KeePass, Chrome, etc."] B --> C{"Cofre está desbloqueado?"} C -->|Sim| D["💾 Dump de Memória do Processo<br/>procdump, taskmgr, ferramentas<br/>custom de leitura de memória"] C -->|Não| E["📁 Localizar arquivo de banco de dados<br/>*.kdbx, *.1pif, vault.json<br/>Chrome Login Data"] D --> F["🔓 Extração de Credenciais em Claro<br/>Senhas, tokens, chaves SSH<br/>credenciais de nuvem"] E --> G{"Escalada de Privilégios<br/>necessária?"} G -->|Sim| H["⬆️ Privilege Escalation<br/>T1068 / exploits locais<br/>Bypass UAC"] G -->|Não| I["🔑 Ataque à Senha Mestra<br/>Brute force offline / keylogger<br/>Engenharia social"] H --> J["🗃️ Cópia do Arquivo de Banco<br/>Exfiltração para análise offline"] I --> J J --> K["💥 Quebra Offline<br/>hashcat / john the ripper<br/>Dicionários customizados OSINT"] F --> L["🚀 Uso das Credenciais<br/>Acesso a sistemas corporativos<br/>Movimento lateral / persistência"] K --> L ``` --- ## Exemplos de Uso ### Caso LAPSUS$ - Brasil e América Latina O grupo [[g1004-lapsus|LAPSUS$]], com membros identificados no Brasil e no Reino Unido, utilizou T1555.005 em múltiplas intrusões de alto perfil entre 2021 e 2022. O grupo obtinha acesso inicial via engenharia social (MFA fatigue, SIM swapping) e, uma vez com acesso ao endpoint da vítima, exportava credenciais armazenadas em gerenciadores de senhas corporativos para obter acesso a repositórios de código-fonte, sistemas de deployment e plataformas de nuvem (AWS, Azure, GCP). As vítimas incluíram Microsoft, Nvidia, Samsung, Okta e operadoras de telecomúnicações no Brasil. ### Caso Storm-0501 - Ataques a Hospitais e Governo [[g1053-storm-0501|Storm-0501]] documentou o uso de T1555.005 como etapa crítica na cadeia de ataque ransomware. Após comprometer um endpoint inicial, o grupo extraía credenciais de gerenciadores de senhas para obter acesso a contas privilegiadas (Domain Admin, Azure AD) sem necessidade de explorar vulnerabilidades adicionais, acelerando o movimento lateral e a implantação do ransomware. ### Malware especializado em password managers - [[s0266-trickbot|TrickBot]] - módulo `pwgrab` especializado em extração de credenciais de browsers e aplicativos de senhas - [[s1245-invisibleferret|InvisibleFerret]] - backdoor atribuído à Coreia do Norte; possui módulo para extração de credenciais de múltiplos gerenciadores - [[s0652-markirat|MarkiRAT]] - RAT iraniano associado ao grupo Charming Kitten; extrai credenciais de Telegram Desktop e gerenciadores de senhas - [[s0279-proton|Proton]] - malware macOS que demonstrou capacidade de acessar o keychain e gerenciadores de terceiros --- ## Detecção ### Indicadores Comportamentais - Processo não relacionado acessando o espaço de memória do processo do gerenciador de senhas - Criação de dump de memória (`*.dmp`) de processos como `1Password`, `KeePassXC`, `LastPass`, `bitwarden` - Acesso incomum a arquivos de banco de dados KDBX fora do horário normal do usuário - Tentativas de leitura do arquivo `Login Data` do Chrome por processos que não sejam o próprio Chrome - Escalada de privilégios precedendo acesso ao gerenciador de senhas ### Regra de Detecção (Sigma) ```yaml title: Suspicious Access to Password Manager Process Memory status: experimental description: > Detecta tentativas de dump de memória de processos conhecidos de gerenciadores de senhas por processos não relacionados, indicando possível exfiltração de credenciais. logsource: category: process_access product: windows service: sysmon detection: selection: EventID: 10 TargetImage|contains: - "1Password" - "KeePass" - "KeePassXC" - "LastPass" - "Bitwarden" - "Dashlane" - "RoboForm" GrantedAccess|contains: - "0x1010" - "0x1410" - "0x1038" filter_legitimate: SourceImage|contains: - "antivirus" - "defender" - "MsMpEng.exe" condition: selection and not filter_legitimate level: high tags: - attack.credential_access - attack.t1555.005 falsepositives: - Software de backup legítimo que acessa processos do sistema - Ferramentas de EDR ou antivírus realizando inspeção de processo ``` ### Regra Complementar - Acesso a Arquivos KDBX ```yaml title: KeePass Database File Access by Unexpected Process status: experimental description: > Detecta acesso a arquivos .kdbx por processos que não sejam KeePass ou KeePassXC - indicativo de exfiltração de banco de senhas. logsource: category: file_access product: windows service: sysmon detection: selection: EventID: 11 TargetFilename|endswith: ".kdbx" filter_keepass: Image|endswith: - "KeePass.exe" - "KeePassXC.exe" condition: selection and not filter_keepass level: high tags: - attack.credential_access - attack.t1555.005 ``` ### Fontes de log recomendadas | Fonte | Dados relevantes | |-------|-----------------| | Sysmon Event ID 10 | Process access - dump de memória de password managers | | Sysmon Event ID 11 | File creation - cópias de arquivos .kdbx | | Windows Security Event 4663 | Object access - acesso a arquivos de banco de senhas | | EDR (CrowdStrike, SentinelOne, Carbon Black) | Comportamentos de injeção de processo e memory reading | | Auditd (Linux) | Syscalls `ptrace`, `process_vm_readv` direcionados a password managers | --- ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1051 | [[m1051-update-software\|M1051 - Updaté Software]] | Manter gerenciadores de senhas sempre na versão mais recente para garantir patches de vulnerabilidades como CVE-2023-32784 (KeePass master password leak) e falhas similares. Habilitar atualizações automáticas quando disponível. | | M1018 | [[m1018-user-account-management\|M1018 - User Account Management]] | Aplicar princípio do menor privilégio para impedir que malwares sem privilégios elevados consigam fazer dump de memória de processos de outros usuários. Garantir separação de contas para funções administrativas. | | M1017 | [[m1017-user-training\|M1017 - User Training]] | Treinar usuários a escolherem senhas mestras fortes e únicas, não reutilizadas em nenhum outro serviço. Educar sobre os riscos de desbloquear o cofre em ambientes não confiáveis. | | M1054 | [[m1054-software-configuration\|M1054 - Software Configuration]] | Configurar gerenciadores de senhas para bloqueio automático após período de inatividade curto. Desabilitar o recurso de "lembrar senha mestra". Configurar timeout de sessão agressivo. | | M1027 | [[m1027-password-policies\|M1027 - Password Policies]] | Exigir senhas mestras com alta complexidade (mínimo 20 caracteres, passphrase). Implementar MFA onde disponível (ex: YubiKey para desbloquear o cofre no 1Password/Bitwarden). | ### Medidas adicionais recomendadas - **Credential Guard** (Windows) - impede extração de credenciais da memória por processos não privilegiados - **EDR com proteção de memória** - soluções como CrowdStrike Falcon e SentinelOne detectam e bloqueiam tentativas de dump de memória de processos sensíveis - **Isolamento de processos** - em ambientes corporativos, considerar executar gerenciadores de senhas em ambiente virtualizado ou sandboxed - **Gerenciadores corporativos com integração SSO** - reduzir a dependência de credenciais locais; usar gerenciadores que se integram com Identity Provider corporativo (Okta, Azure AD) - **Monitoramento de acesso a arquivos .kdbx** via DLP e EDR - Auditar regularmente quais aplicações têm permissão de acessar keychains do sistema operacional (macOS Keychain, Windows Credential Manager) --- ## Contexto Brasil/LATAM A técnica T1555.005 é particularmente relevante no contexto brasileiro dado o perfil de ameaças que afeta organizações na região: **LAPSUS$ e a conexão brasileira:** O grupo [[g1004-lapsus|LAPSUS$]] tem membros identificados no Brasil e realizou ataques significativos contra empresas com operações no país. Sua modus operandi depende fortemente do acesso a credenciais corporativas via gerenciadores de senhas, obtidas após engenharia social com funcionários de help desk e TI. A capacidade do grupo de obter credenciais privilegiadas rapidamente após o acesso inicial ao endpoint tornou-o altamente eficaz e difícil de conter. **Bancos e fintechs como alvos prioritários:** O setor financeiro brasileiro é o maior da América Latina, com presença global de instituições como Itaú, Bradesco, BTG Pactual e decenas de fintechs. Funcionários desses setores frequentemente utilizam gerenciadores de senhas para gerenciar acesso a sistemas de banking core, plataformas de trading e sistemas de compliance. Malwares como [[s0531-grandoreiro|Grandoreiro]] e [[mekotio|Mekotio]], endêmicos no Brasil, têm evoluído para incluir capacidades de roubo de credenciais de gerenciadores de senhas além de seu foco original em banking trojans. **Ambiente de trabalho remoto pós-pandemia:** O crescimento do trabalho remoto no Brasil expandiu massivamente o uso de gerenciadores de senhas pessoais e corporativos, frequentemente em ambientes menos controlados (redes residenciais, equipamentos pessoais). Isso criou novos vetores para T1555.005, onde o atacante não precisa comprometer a rede corporativa - apenas o dispositivo pessoal do colaborador. **Impacto regulatório (LGPD):** Incidentes envolvendo T1555.005 tipicamente resultam em exposição massiva de dados pessoais e corporativos, com implicações diretas sob a Lei Geral de Proteção de Dados. O vazamento de credenciais obtidas via gerenciadores de senhas pode afetar o acesso a sistemas que processam dados pessoais sensíveis, obrigando notificação à ANPD e aos titulares afetados. --- ## Referências - [MITRE ATT&CK - T1555.005 Password Managers](https://attack.mitre.org/techniques/T1555/005) - [CVE-2023-32784 - KeePass Master Password Leak](https://nvd.nist.gov/vuln/detail/CVE-2023-32784) - [[s0266-trickbot|TrickBot]] - módulo pwgrab para extração de credenciais - [[s1245-invisibleferret|InvisibleFerret]] - backdoor com exfiltração de password managers - [[s0652-markirat|MarkiRAT]] - RAT iraniano com módulo de credential theft - [[s0279-proton|Proton]] - malware macOS com acesso ao keychain - [[g1015-scattered-spider|Scattered Spider]] - grupo que utiliza T1555.005 em ataques corporativos - [[g1004-lapsus|LAPSUS$]] - grupo com nexo brasileiro e uso extensivo da técnica - [[t1212-exploitation-for-credential-access|T1212 - Exploitation for Credential Access]] - [[t1110-001-password-guessing|T1110.001 - Password Guessing]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[m1051-update-software|M1051 - Updaté Software]] - [[m1054-software-configuration|M1054 - Software Configuration]] --- *Fonte: [MITRE ATT&CK - T1555.005](https://attack.mitre.org/techniques/T1555/005)*