# T1218.014 - MMC (System Binary Proxy Execution) > [!danger] Living-off-the-Land - Windows > Adversários abusam do **Microsoft Management Console (mmc.exe)** - binário nativo e assinado da Microsoft - para executar arquivos `.msc` maliciosos, contornando controles de aplicação como AppLocker e WDAC. ## Descrição **T1218.014 - MMC** é uma sub-técnica de [[t1218-system-binary-proxy-execution|T1218 - System Binary Proxy Execution]] na qual adversários exploram o `mmc.exe` (Microsoft Management Console) como um intermediário ("proxy") para executar código malicioso. Como o `mmc.exe` é um binário nativo do Windows assinado digitalmente pela Microsoft, sua execução raramente levanta suspeitas em ambientes corporativos. O MMC é uma ferramenta administrativa legítima que permite criar, abrir e salvar consoles personalizados (arquivos `.msc`) contendo snap-ins administrativos. Exemplos legítimos incluem `gpedit.msc` (Group Policy Editor), `compmgmt.msc` (Computer Management) e `devmgmt.msc` (Device Manager). ### Vetor de Abuso via CLSID Malicioso O vetor mais sofisticado documentado pelo MITRE envolve: 1. **Criação de CLSID malicioso no registro**: O adversário registra um Class Identifier (CLSID) em `HKCU\Software\Classes\CLSID\{GUID}` apontando para uma DLL ou COM server malicioso 2. **Snap-in "Link to Web Address"**: O arquivo `.msc` é configurado com este snap-in especial apontando para o CLSID malicioso 3. **Execução via `-Embedding`**: O comando `mmc.exe -Embedding C:\path\to\malicious.msc` dispara a ativação COM, carregando o payload Este fluxo é particularmente eficaz porque: - Usa um binário confiável do sistema (`mmc.exe`) - Abusa de [[t1559-001-component-object-model|Component Object Model (COM)]] para execução indireta - O registro CLSID pode existir apenas no hive do usuário (HKCU), não requerendo privilégios de administrador ### Uso Destrutivo: Deleção de Backups Uma variante operacional documentada é o uso do MMC para destruir backups: ``` mmc wbadmin.msc delete catalog -quiet ``` Este comando apaga o catálogo de backup do sistema sem prompts - técnica consistente com [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]], padrão em operações de ransomware. **Relação com outras técnicas:** - Sub-técnica de [[t1218-system-binary-proxy-execution|T1218 - System Binary Proxy Execution]] - Frequentemente combina com [[t1559-001-component-object-model|T1559.001 - COM]] para execução indireta - Pode preceder [[t1490-inhibit-system-recovery|T1490]] em ataques de ransomware - Relacionado a [[t1112-modify-registry|T1112 - Modify Registry]] para persistência do CLSID ## Como Funciona ### Attack Flow Detalhado **Cenário 1 - Execução direta de .msc malicioso:** ``` mmc.exe C:\Users\Public\Documents\admintools.msc ``` Um arquivo `.msc` com comandos ou snap-ins maliciosos é executado diretamente. Parece uma ação administrativa rotineira nos logs. **Cenário 2 - Proxy via CLSID e COM:** ``` # 1. Registrar CLSID malicioso (não requer admin - HKCU) reg add "HKCU\Software\Classes\CLSID\{GUID-malicioso}\InprocServer32" /ve /d "C:\payload.dll" # 2. Criar console .msc com snap-in "Link to Web Address" apontando para o CLSID # 3. Disparar execução mmc.exe -Embedding C:\path\to\malicious.msc ``` **Cenário 3 - Deleção destrutiva de backups (ransomware):** ``` mmc.exe wbadmin.msc delete catalog -quiet ``` ### Por que o MMC é Atrativo para Adversários | Característica | Benefício para o Adversário | |---------------|----------------------------| | Binário assinado pela Microsoft | Bypassa listas de permitidos baseadas em assinatura | | Presente em todas as versões do Windows | Garantia de disponibilidade no alvo | | LOLBAS (Living-off-the-Land Binary) | Confunde com atividade administrativa legítima | | Não requer privilégios elevados | Funciona como usuário padrão via HKCU | | COM activation indireta | Dificulta rastreamento do processo pai/filho | ## Attack Flow ```mermaid graph TB A([Adversário - acesso inicial estabelecido]) --> B{Objetivo} B -->|Execução de payload| C[Criar CLSID malicioso<br/>em HKCU - sem admin] B -->|Destruição de backups| D[Preparar comando<br/>wbadmin.msc delete catalog] B -->|Persistence via MSC| E[Criar arquivo .msc<br/>com snap-in malicioso] C --> F[Criar arquivo .msc<br/>com Link to Web Address<br/>apontando para CLSID] F --> G[Entregar .msc ao alvo<br/>via phishing / download] G --> H[mmc.exe -Embedding<br/>malicious.msc] H --> I[Windows ativa objeto COM<br/>associado ao CLSID] I --> J[DLL / payload<br/>carregado no processo mmc.exe] J --> K([Código malicioso executado<br/>sob contexto de mmc.exe]) D --> L[mmc wbadmin.msc<br/>delete catalog -quiet] L --> M[Catálogo de backup<br/>apagado sem interação] M --> N([Recuperação de ransomware<br/>bloqueada]) E --> O[MSC colocado em<br/>diretório de startup ou agendado] O --> P([Persistência estabelecida<br/>Bypassa AppLocker]) style A fill:#8B0000,color:#fff style K fill:#8B0000,color:#fff style N fill:#8B0000,color:#fff style P fill:#8B0000,color:#fff style H fill:#b8860b,color:#fff style L fill:#b8860b,color:#fff ``` ## Exemplos de Uso ### Medusa Group (Ransomware) [[g1051-medusa-ransomware|Medusa Group]] é um grupo de ransomware como serviço (RaaS) ativo desde 2021, com múltiplos ataques documentados contra organizações brasileiras e latino-americanas nos setores de saúde, educação e infraestrutura crítica. O grupo incorporou T1218.014 em sua cadeia de ataque para: - **Bypass de AppLocker**: Em ambientes onde políticas de AppLocker bloqueiam execução de binários não assinados, o Medusa usa `mmc.exe` como proxy para carregar payloads via COM - **Deleção de backups**: Uso documentado de `wbadmin.msc` para destruir cópias de sombra e catálogos de backup antes de ativar o ransomware - maximizando impacto e poder de extorsão - **Lateral movement**: Uso de arquivos `.msc` distribuídos via shares de rede para execução remota em múltiplos endpoints simultaneamente **TTPs associados do Medusa:** - [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - [[t1078-valid-accounts|T1078 - Valid Accounts]] para acesso inicial - [[Windows Admin Shares]] para movimento lateral ### Campanha GoldMax / Turla (uso de LOLBAS) Grupos de espionagem como [[turla-group|Turla]] têm histórico extenso de abuso de binários nativos do Windows (LOLBAS) para evasão. O padrão de execução via `mmc.exe` com snap-ins personalizados alinha-se com a filosofia operacional desse grupo de minimizar artefatos em disco e confundir-se com tráfego administrativo legítimo. ### Ataques de Ransomware - Padrão Geral O uso de `mmc.exe` para deleção de backups é um padrão amplamente adotado por operadores de ransomware além do Medusa, incluindo grupos como [[lockbit|LockBit]], [[blackcat|ALPHV]] e afiliados de outros RaaS. Em ambientes onde `vssadmin` e `wmic` são bloqueados por EDR, `mmc.exe` oferece um caminho alternativo para destruição de backups. ## Detecção ### Estrategia de Monitoramento Foco em três dimensões: 1. **Execução anômala de mmc.exe** - parâmetros incomuns, processo pai suspeito 2. **Criação de CLSID em HKCU** - especialmente antes de execução de mmc.exe 3. **Modificação de arquivos .msc** - criação em diretórios não-padrão ### Regra Sigma - MMC com Parâmetro -Embedding (COM Activation) ```yaml title: MMC Proxy Execution via -Embedding Parameter id: c4e7f2a9-8b1d-4e6c-b3a0-5d9f8e2c1b7a status: experimental description: > Detecta uso do parâmetro -Embedding no mmc.exe, indicando ativação de objeto COM para proxy de execução maliciosa. Técnica T1218.014 usada por Medusa Group e outros. author: RunkIntel daté: 2026-03-25 references: - https://attack.mitre.org/techniques/T1218/014/ - https://lolbas-project.github.io/lolbas/Binaries/Mmc/ logsource: category: process_creation product: windows detection: selection: Image|endswith: '\mmc.exe' CommandLine|contains: '-Embedding' filter_legitimate: # MMC legítimo via Component Services não usa arquivos externos CommandLine|endswith: '-Embedding' condition: selection and not filter_legitimate falsepositives: - Ferramentas de administração remota legítimas que ativam snap-ins via COM - Scripts de automação de TI corporativos level: high tags: - attack.defense_evasion - attack.t1218.014 ``` ### Regra Sigma - MMC Executando Deleção de Backup (Ransomware) ```yaml title: MMC Backup Catalog Deletion via wbadmin.msc id: d8b3c6e1-2a5f-4d9b-8e7a-1c4f6b9d3a0e status: stable description: > Detecta uso de mmc.exe com wbadmin.msc para deletar catálogo de backup. Comportamento característico de ransomware antes da fase de criptografia. Usado por Medusa, LockBit, BlackCat e outros grupos. author: RunkIntel daté: 2026-03-25 references: - https://attack.mitre.org/techniques/T1490/ - https://attack.mitre.org/techniques/T1218/014/ logsource: category: process_creation product: windows detection: selection: Image|endswith: '\mmc.exe' CommandLine|contains|all: - 'wbadmin.msc' - 'delete' - 'catalog' condition: selection falsepositives: - Administradores de backup realizando limpeza planejada (extremamente raro via mmc.exe) level: critical tags: - attack.impact - attack.defense_evasion - attack.t1490 - attack.t1218.014 ``` ### Regra Sigma - CLSID Suspeito Criado em HKCU Antes de Execução MMC ```yaml title: Suspicious CLSID Registration in HKCU Before MMC Execution id: e1a9d4f7-6c2b-5e8a-0b3d-4f7e9c2a1b5d status: experimental description: > Detecta sequência de criação de CLSID em HKCU\Software\Classes\CLSID seguida de execução de mmc.exe, indicando proxy de execução COM via T1218.014. author: RunkIntel daté: 2026-03-25 logsource: category: registry_set product: windows detection: selection: TargetObject|startswith: 'HKCU\Software\Classes\CLSID\' TargetObject|contains: '\InprocServer32' condition: selection falsepositives: - Instalação legítima de componentes COM pelo usuário - Desenvolvimento de software (ambientes de DEV) level: medium tags: - attack.defense_evasion - attack.t1218.014 - attack.t1112 ``` ## Mitigação | ID | Mitigação | Descrição | Efetividade | |---|-----------|-----------|-------------| | [[m1042-disable-or-remove-feature-or-program\|M1042]] | Disable or Remove Feature or Program | Considerar desabilitar mmc.exe em endpoints onde administração remota não é necessária via GPO | Alta (mas impacto operacional) | | [[m1038-execution-prevention\|M1038]] | Execution Prevention | Usar AppLocker ou WDAC para bloquear execução de .msc de diretórios não-padrão (fora de %SystemRoot%) | Média-Alta | | Monitoramento de Registro | Registry Monitoring | Alertar criação de chaves InprocServer32 em HKCU por processos não administrativos | Alta | | EDR Behavioral | Detecção Comportamental | EDRs modernos (CrowdStrike, SentinelOne, Defender for Endpoint) têm regras para MMC proxy execution | Alta | | Backup Isolation | Isolamento de Backups | Backups offline e imutáveis eliminam risco de deleção via wbadmin.msc | Crítica (resiliência) | ### Configuração de Hardening Recomendada > [!warning] Ação Prioritária - Ambientes com Risco de Ransomware > Se `wbadmin.msc` não é utilizado operacionalmente, criar uma GPO bloqueando: > ``` > mmc.exe wbadmin.msc * > ``` > via AppLocker regras de linha de comando. Isso elimina o vetor de deleção de backups sem impacto operacional significativo. ## Contexto Brasil/LATAM > [!warning] Alto Risco - Brasil e América Latina > O [[g1051-medusa-ransomware|Medusa Group]] tem histórico **documentado de ataques contra organizações brasileiras**, tornando T1218.014 especialmente relevante para equipes de defesa no Brasil. **Incidentes relevantes envolvendo grupos que usam T1218.014:** - **Setor de Saúde Brasileiro**: O Medusa Group atacou múltiplas instituições hospitalares no Brasil em 2023-2024, usando técnicas de proxy execution para bypassar defesas antes de ativar ransomware. - **Infraestrutura Pública**: Prefeituras e autarquias estaduais brasileiras foram alvejadas por campanhas de ransomware com TTPs incluindo deleção de backups via `mmc.exe`. - **Empresas de Serviços**: O setor de serviços (contabilidade, advocacia, consultorias) no Brasil é frequentemente alvo por conter dados sensíveis de clientes com defesas menos maduras. **Grupos ativos na LATAM que usam LOLBAS:** - [[g1051-medusa-ransomware|Medusa Group]] - ataques documentados no Brasil, Chile, Argentina, Colômbia - Afiliados de [[lockbit|LockBit]] - ampla atuação regional até o takedown (2024) - Grupos de ransomware emergentes com foco em LATAM como ALPHV/BlackCat regionais **Recomendações específicas para o contexto brasileiro:** 1. Monitorar execuções de `mmc.exe` com parâmetros não-padrão - especialmente em ambiente financeiro e saúde 2. Assegurar backups **offsite e offline** - o vetor de destruição de backups via `wbadmin.msc` é crítico 3. Implementar regras de Defender for Endpoint (Microsoft) para detecção - amplamente disponível em organizações brasileiras com licenciamento M365 ## Referências - [MITRE ATT&CK - T1218.014](https://attack.mitre.org/techniques/T1218/014/) - [LOLBAS Project - mmc.exe](https://lolbas-project.github.io/lolbas/Binaries/Mmc/) - [Elastic - MMC Abuse Detection](https://www.elastic.co/blog/protecting-organization-against-mmc-technique) - [Microsoft Security Blog - Medusa Group](https://www.microsoft.com/en-us/security/blog/) - [[t1218-system-binary-proxy-execution|T1218 - System Binary Proxy Execution]] (técnica pai) - [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] - [[t1559-001-component-object-model|T1559.001 - Component Object Model]] - [[t1112-modify-registry|T1112 - Modify Registry]] - [[g1051-medusa-ransomware|Medusa Group]] - principal threat actor documentado usando esta técnica - [[m1042-disable-or-remove-feature-or-program|M1042 - Disable or Remove Feature or Program]] - [[m1038-execution-prevention|M1038 - Execution Prevention]] --- *Fonte: [MITRE ATT&CK - T1218.014](https://attack.mitre.org/techniques/T1218/014)*