# T1555 - Credentials from Password Stores ## Descrição A técnica **T1555 - Credentials from Password Stores** descreve como adversários buscam ativamente em locais comuns de armazenamento de senhas para obter credenciais de usuários. Essa técnica abrange um amplo espectro de fontes: desde gerenciadores de senhas nativos do sistema operacional (Windows Credential Manager, macOS Keychain) até aplicações de terceiros (1Password, Bitwarden, KeePass), navegadores web com senhas salvas, e sistemas de gestão de segredos em nuvem (AWS Secrets Manager, Azure Key Vault, HashiCorp Vault). A premissa fundamental da técnica é que usuários e organizações armazenam senhas em múltiplos locais para facilitar o gerenciamento de credenciais. Quando um adversário ganha um ponto de apoio inicial em um sistema - sejá por phishing, exploração de vulnerabilidade, ou acesso físico - a busca sistemática por esses repositórios de credenciais frequentemente revela não apenas a senha da conta comprometida, mas um universo inteiro de credenciais para outros sistemas, aplicações, serviços cloud, VPNs e contas privilegiadas. A abrangência desta técnica a torna particularmente devastadora: **uma única estação de trabalho comprometida pode revelar centenas de credenciais** armazenadas pelo usuário ao longo de anos. Em ambientes corporativos, isso tipicamente inclui credenciais de domínio, tokens de API, senhas de sistemas críticos, chaves SSH, e acessos a serviços SaaS corporativos - tudo disponível em um único repositório local aguardando extração. Grupos APT como [[g0096-apt41|APT41]], [[g1017-volt-typhoon|Volt Typhoon]], [[g1001-hexane|HEXANE]] e [[g0049-oilrig|OilRig]] utilizam ativamente essa técnica em campanhas de espionagem de longo prazo, valorizando a profundidade do acesso que ela proporciona frente ao risco de detecção. Grupos de crime financeiro como [[g0120-evilnum|Evilnum]] exploram específicamente credenciais de plataformas fintech e exchanges de criptomoeda armazenadas em navegadores e gerenciadores de senhas. ## Como Funciona A técnica T1555 é executada de maneiras distintas dependendo do sistema operacional e do tipo de repositório alvo: ### Windows - Credential Manager O Windows Credential Manager armazena credenciais em dois cofres: **Web Credentials** (usuário/senha de sites e aplicações) e **Windows Credentials** (credenciais de rede, certificados, tokens genéricos). As credenciais são criptografadas via DPAPI (Data Protection API) vinculada à conta do usuário - ou sejá, qualquer processo rodando no contexto do usuário pode descriptografá-las. - [[t1555-004-windows-credential-manager|T1555.004 - Windows Credential Manager]]: acesso direto ao cofre via API nativa ou ferramentas como Mimikatz (`dpapi::cred`), LaZagne módulo `windows`, ou cmdlet PowerShell `Get-StoredCredential` ### macOS - Keychain O macOS Keychain é o repositório central de senhas do sistema, armazenando credenciais de Wi-Fi, certificados, tokens de aplicações, e senhas salvas. O acesso é controlado por ACLs por aplicação, mas processos com permissões equivalentes ao usuário logado podem acessar entradas sem solicitação de senha adicional. - [[t1555-001-keychain|T1555.001 - Keychain]]: extração via `security` CLI, APIs CoreFoundation, ou ferramentas como Chainbreaker e [[s0349-lazagne|LaZagne]] módulo `osx` ### Navegadores Web Todos os principais navegadores (Chrome, Firefox, Edge, Safari, Brave) armazenam senhas localmente em banco de dados SQLite ou equivalente, criptografados com chaves derivadas do perfil do usuário ou do sistema operacional. Com acesso ao perfil do usuário, a descriptografia é trivial. - [[t1555-003-credentials-from-web-browsers|T1555.003 - Credentials from Web Browsers]]: o vetor mais explorado - ferramentas como HackBrowserData, BrowserStealer, e módulos de Infostealer (Redline, Vidar, Raccoon) automatizam completamente a extração de todas as senhas salvas em todos os navegadores instalados ### Gerenciadores de Senhas de Terceiros Gerenciadores como KeePass (arquivo `.kdbx`), 1Password, Bitwarden (banco SQLite local), e LastPass (banco de dados local criptografado) são alvos de alto valor - uma única extração bem-sucedida pode revelar centenas de senhas organizadas. - [[t1555-005-password-managers|T1555.005 - Password Managers]]: técnicas variam de extração de arquivo de banco de dados (KeePass), análise de memória de processos desbloqueados, até ataques à master password ### Sistemas de Secrets em Nuvem Em ambientes IaaS/Cloud, credenciais são frequentemente armazenadas em serviços gerenciados como AWS Secrets Manager, Azure Key Vault, GCP Secret Manager, e HashiCorp Vault. Adversários com acesso a credenciais de cloud (tokens IAM, service accounts) podem exfiltrar todos os segredos armazenados. - [[t1555-006-cloud-secrets-management-stores|T1555.006 - Cloud Secrets Management Stores]]: uso de SDKs cloud, CLI (`aws secretsmanager list-secrets`), ou APIs REST para enumerar e exfiltrar segredos ### macOS - Securityd Memory - [[t1555-002-securityd-memory|T1555.002 - Securityd Memory]]: acesso direto à memória do processo `securityd` para extrair chaves do Keychain sem acionar os controles de acesso normais ## Attack Flow ```mermaid graph TB A["Comprometimento inicial<br/>(Phishing, exploit, acesso físico)"] --> B["Execução com privilégios de usuário<br/>(ou escalada para admin/root)"] B --> C["Enumeração de repositórios de credenciais"] C --> D["Navegadores (T1555.003)<br/>(Chrome, Firefox, Edge SQLite)"] C --> E["Windows Credential Manager (T1555.004)<br/>(DPAPI vault)"] C --> F["macOS Keychain (T1555.001)<br/>(security CLI, CoreFoundation)"] C --> G["Password Managers (T1555.005)<br/>(KeePass .kdbx, 1Password, Bitwarden)"] C --> H["Cloud Secrets (T1555.006)<br/>(AWS SM, Azure KV, HashiCorp Vault)"] D --> I["Descriptografia das credenciais<br/>(Mimikatz, LaZagne, Infostealer)"] E --> I F --> I G --> I H --> I I --> J["Exfiltração de credenciais<br/>(arquivo, C2, canal cifrado)"] J --> K["Uso de contas legítimas (T1078)<br/>(VPN, SaaS, domínio, cloud)"] K --> L["Lateral Movement / Persistência<br/>(RDP, SSH, tokens de API)"] K --> M["Acesso a dados sensíveis<br/>(e-mails, documentos, sistemas financeiros)"] ``` ## Exemplos de Uso ### Caso 1: APT41 - Campanha de espionagem com extração de Keychain O [[g0096-apt41|APT41]] (grupo chinês com componentes tanto de espionagem patrocinada pelo Estado quanto de crime financeiro) documentadamente utiliza [[t1555-001-keychain|T1555.001]] em campanhas contra alvos macOS. Em intrusões documentadas contra empresas de tecnologia e jogos, o grupo implantava malware customizado que extraia o Keychain completo do usuário, revelando credenciais de SSH, tokens de API de desenvolvimento, e acesso a plataformas de gerenciamento de código. Isso permitia ao grupo escalar de uma única estação de trabalho de desenvolvedor para repositórios de código-fonte e infraestrutura de produção. ### Caso 2: Volt Typhoon - Extração silenciosa em infraestrutura crítica O [[g1017-volt-typhoon|Volt Typhoon]] - grupo APT chinês com foco em infraestrutura crítica dos EUA e aliados - usa técnicas de extração de credenciais com ênfase em baixo perfil de detecção. Em vez de usar ferramentas ruidosas como Mimikatz, o grupo usa utilitários nativos do sistema (`certutil`, `reg query`) e acesso direto a arquivos de banco de dados para extrair credenciais de gerenciadores de senha e navegadores - uma abordagem de **living-off-the-land** que minimiza artefatos em EDRs. ### Caso 3: Evilnum - Foco em plataformas fintech e exchanges O [[g0120-evilnum|Evilnum]] - grupo com foco específico em empresas fintech europeias e latino-americanas - utiliza malware personalizado que extrai credenciais salvas em navegadores (especialmente Chrome e Firefox) para acessar contas em plataformas de trading, exchanges de criptomoeda e sistemas de pagamento. Em incidentes documentados, o grupo obtinha credenciais de portais de câmbio de clientes da empresa comprometida, causando perdas financeiras diretas além da espionagem corporativa inicial. ### Caso 4: Infostealers no Brasil - Redline, Vidar e Raccoon No contexto brasileiro, o mercado clandestino de logs de Infostealer é particularmente ativo. Ferramentas como **Redline Stealer**, **Vidar** e **Raccoon Stealer** - vendidas como serviço (Malware-as-a-Service) em fóruns de darkweb - são amplamente distribuídas via anúncios maliciosos, cracks de software, e mods de jogos. Esses stealers extraem automaticamente todas as credenciais de navegadores ([[t1555-003-credentials-from-web-browsers|T1555.003]]), cookies de sessão, carteiras de criptomoeda, e dados de formulários - os logs resultantes são vendidos em mercados como Genesis Market (desarticulado) e Russian Market, e comprados por grupos de crime financeiro para fraudes bancárias e tomada de conta em plataformas digitais brasileiras. ### Caso 5: HEXANE - Acesso a sistemas industriais via credenciais de VPN O [[g1001-hexane|HEXANE]] - grupo iraniano com foco em telecomúnicações e empresas de petróleo e gás - documentadamente extrai credenciais de clientes VPN (Cisco AnyConnect, Pulse Secure, GlobalProtect) armazenadas no Windows Credential Manager ([[t1555-004-windows-credential-manager|T1555.004]]) e no macOS Keychain. Essas credenciais VPN fornecem acesso direto às redes corporativas e OT/ICS, constituindo um vetor de entrada de alto valor para espionagem industrial. ## Detecção ### Estrategias de detecção por sub-técnica **1. Navegadores (T1555.003):** Monitorar acesso aos arquivos de banco de dados de senhas dos navegadores por processos que não sejam o próprio navegador: - Chrome/Edge: `%USERPROFILE%\AppData\Local\Google\Chrome\User Data\Default\Login Data` - Firefox: `%USERPROFILE%\AppData\Roaming\Mozilla\Firefox\Profiles\*.default\logins.json` **2. Windows Credential Manager (T1555.004):** Monitorar chamadas às APIs `CredRead`, `CredEnumeraté`, e `CredReadDomainCredentials` por processos não reconhecidos. O acesso ao Credential Manager por scripts PowerShell não administrativos deve gerar alerta. **3. Password Managers (T1555.005):** Monitorar acesso a arquivos `.kdbx` (KeePass) por processos que não sejam o próprio KeePass. Detectar injeção em processos de gerenciadores de senha desbloqueados. **4. Cloud Secrets (T1555.006):** Usar Cloud Trail / audit logs para detectar enumeração massiva (`list-secrets`, `list-secret-version-ids`) ou acesso a segredos por identidades não esperadas, especialmente de instâncias temporárias ou de IPs anômalos. ### Regra Sigma - Acesso ao banco de dados de senhas do Chrome ```yaml title: Credential Access from Chrome Password Database status: experimental logsource: category: file_access product: windows detection: selection: TargetFilename|contains: - '\Chrome\User Data\Default\Login Data' - '\Edge\User Data\Default\Login Data' - '\Brave-Browser\User Data\Default\Login Data' filter_legit: Image|contains: - '\chrome.exe' - '\msedge.exe' - '\brave.exe' condition: selection and not filter_legit level: high tags: - attack.credential_access - attack.t1555.003 ``` ### Regra Sigma - Enumeração de segredos AWS via CLI ```yaml title: AWS Secrets Manager Enumeration status: experimental logsource: category: cloud product: aws service: cloudtrail detection: selection: eventSource: secretsmanager.amazonaws.com eventName: - ListSecrets - GetSecretValue - BatchGetSecretValue filter_expected: userIdentity.type: Service condition: selection and not filter_expected level: medium tags: - attack.credential_access - attack.t1555.006 ``` ## Mitigação | ID | Mitigação | Descrição | |---|-----------|-----------| | M1026 | [[m1026-privileged-account-management\|M1026 - Privileged Account Management]] | Limitar o uso de contas privilegiadas em estações de trabalho onde senhas são armazenadas em gerenciadores. Garantir que contas de alto privilégio não tenham senhas salvas em navegadores ou Credential Manager. Usar contas separadas para administração vs. uso cotidiano - impedindo que uma única comprometimento exponha credenciais de admin. | | M1051 | [[m1051-update-software\|M1051 - Updaté Software]] | Manter navegadores, gerenciadores de senha e sistema operacional atualizados para corrigir vulnerabilidades que permitem contornar proteções de armazenamento de credenciais. Gerenciadores desatualizados podem ter bugs conhecidos de extração de memória ou acesso a banco de dados. | | M1027 | [[m1027-password-policies\|M1027 - Password Policies]] | Implementar políticas que exijam uso de gerenciadores de senha aprovados pela empresa (corporativos, com auditoria centralizada) em vez de armazenamento em navegadores pessoais ou Credential Manager. Políticas de menor privilégio para contas de serviço cujas senhas são armazenadas em sistemas. | ### Controles adicionais recomendados - **Gerenciadores corporativos com auditoria:** Usar soluções enterprise como CyberArk, Delinea (ex-Thycotic), ou HashiCorp Vault - que incluem auditoria de acesso, aprovação para credenciais sensíveis, e gestão centralizada de políticas - **Criptografia de endpoint:** BitLocker/FileVault para proteger arquivos de banco de dados de senha em dispositivos físicos contra acesso offline - **Zero Trust e acesso just-in-time:** Para contas privilegiadas, usar acesso just-in-time (JIT) em vez de credenciais permanentes armazenadas - eliminando o valor de exfiltrar senhas que expiram automaticamente - **Monitoramento comportamental de processo:** EDR com regras de comportamento para detectar acesso a arquivos de senha por processos não esperados, especialmente scripts interpretados (Python, PowerShell, JS) - **Rotação automática de segredos:** Para ambientes cloud, implementar rotação automática de segredos em AWS Secrets Manager / Azure Key Vault - diminuindo o valor de credenciais exfiltradas ## Contexto Brasil/LATAM O Brasil é um dos países mais afetados por atividade de Infostealer na América Latina, com impacto direto e abrangente desta técnica no ecossistema de segurança nacional: **Mercado de logs de Infostealer:** Pesquisas da Kaspersky LATAM e Cyberint consistentemente identificam o Brasil entre os 5 países com maior volume de logs de Infostealer disponíveis em mercados clandestinos. Esses logs - contendo credenciais extraídas via T1555 de computadores de usuários brasileiros - alimentam desde fraudes bancárias de baixo valor até comprometimentos corporativos sofisticados. **Setor financeiro como alvo primário:** O Brasil possui um dos sistemas bancários digitais mais avançados do mundo (PIX, internet banking, Open Finance), tornando as credenciais financeiras armazenadas em navegadores e gerenciadores de senha alvos de altíssimo valor. Grupos especializados em trojans bancários LATAM - como os operadores de [[s0531-grandoreiro|Grandoreiro]], [[mekotio|Mekotio]] e [[amavaldo|Amavaldo]] - combinam T1555.003 (credenciais de navegadores) com captura de tela e keylogging para maximizar o impacto financeiro de cada comprometimento. **Adoção de gerenciadores de senha:** Pesquisas de 2024 indicam que menos de 25% dos usuários brasileiros utilizam gerenciadores de senha dedicados, com a maioria preferindo o armazenamento integrado ao navegador - o vetor mais explorado por Infostealers. Campanhas de conscientização do CERT.br e da FEBRABAN têm buscado aumentar a adoção de práticas mais seguras. **Empresas de tecnologia e startups:** O ecossistema de fintechs, startups e empresas de tecnologia do Brasil - concentrado em São Paulo, com presença crescente em outras capitais - frequentemente usa gerenciadores de senha de equipe (1Password Teams, Bitwarden Organizations, LastPass Enterprise) sem os controles de segurança adequados. Comprometimentos de uma única conta de desenvolvedor via T1555.005 podem revelar credenciais de infraestrutura cloud, APIs de parceiros, e acessos a sistemas financeiros. **Regulamentação:** A exfiltração de credenciais através de T1555 constitui incidente de segurança sob a LGPD quando envolve dados pessoais de clientes ou funcionários. Empresas têm obrigação de notificar a ANPD em incidentes que possam "acarretar risco ou dano relevante" aos titulares - o que práticamente qualquer exfiltração de credenciais de usuários satisfaz. ## Sub-técnicas - [[t1555-001-keychain|T1555.001 - Keychain]] - [[t1555-002-securityd-memory|T1555.002 - Securityd Memory]] - [[t1555-003-credentials-from-web-browsers|T1555.003 - Credentials from Web Browsers]] - [[t1555-004-windows-credential-manager|T1555.004 - Windows Credential Manager]] - [[t1555-005-password-managers|T1555.005 - Password Managers]] - [[t1555-006-cloud-secrets-management-stores|T1555.006 - Cloud Secrets Management Stores]] ## Software Associado - [[mimikatz|Mimikatz]] - módulos DPAPI para Windows Credential Manager e extração de Keychain - [[s0349-lazagne|LaZagne]] - ferramenta multi-plataforma que abrange todas as sub-técnicas - [[s0484-carberp|Carberp]] - trojan bancário com módulos de extração de senha - [[s1207-xloader|XLoader]] - Infostealer com foco em credenciais de navegadores e aplicações - [[s0447-lokibot|Lokibot]] - Infostealer com suporte a dezenas de aplicações e navegadores - [[s1146-mgbot|MgBot]] - implante do APT41 com capacidade de extração de Keychain macOS - [[s1156-manjusaka|Manjusaka]] - framework C2 com módulos de coleta de credenciais - [[s0050-cosmicduke|CosmicDuke]] - malware APT29 com extração de credenciais armazenadas - [[s0113-prikormka|Prikormka]] - implante com módulos de coleta de dados de autenticação - [[s0435-plead|PLEAD]] - malware com capacidade de roubo de credenciais de navegadores ## Referências - [MITRE ATT&CK - T1555](https://attack.mitre.org/techniques/T1555) - [Kaspersky LATAM - Relatório de Ameaças Brasil 2024](https://latam.kaspersky.com/blog/) - [CERT.br - Cartilha de Segurança: Senhas](https://cartilha.cert.br/senhas/) - [CyberArk - Password Manager Security Research](https://www.cyberark.com/resources/threat-research-blog/) - [HackBrowserData - Tool Documentation](https://github.com/moonD4rk/HackBrowserData) - [[g0096-apt41|APT41]] - uso de extração de Keychain em campanhas de espionagem - [[g1017-volt-typhoon|Volt Typhoon]] - técnica living-off-the-land para extração silenciosa - [[g0120-evilnum|Evilnum]] - foco em credenciais fintech e exchanges - [[g0049-oilrig|OilRig]] - uso sistemático de LaZagne em campanhas de espionagem - [[t1078-valid-accounts|T1078 - Valid Accounts]] - uso das credenciais após extração - [[t1539-steal-web-session-cookie|T1539 - Steal Web Session Cookie]] - técnica complementar de roubo de sessões - [[m1026-privileged-account-management|M1026 - Privileged Account Management]] - controle de mitigação primário --- *Fonte: [MITRE ATT&CK - T1555](https://attack.mitre.org/techniques/T1555) | Versão: 16.2*