t1059-003-windows-command-shell

# T1059.003 - Windows Command Shell ## Descrição O Windows Command Shell (`cmd.exe`) é o interpretador de linha de comando nativo do Windows, presente em todas as versões do sistema operacional desde o DOS. Por ser um componente legítimo e integrado ao sistema, ele oferece aos adversários uma superfície de ataque práticamente invisível para ferramentas de segurança menos sofisticadas - afinal, o `cmd.exe` executando em uma estação de trabalho é absolutamente normal. O problema surge quando o processo pai, os argumentos ou o contexto de execução fogem do padrão esperado. Atacantes utilizam o `cmd.exe` para executar comandos isolados, scripts em lote (`.bat`, `.cmd`) e para encadear operações complexas em uma única linha de comando. Os arquivos de lote, em particular, permitem automatizar toda uma cadeia de infecção: baixar payloads secundários, modificar o registro, criar tarefas agendadas, desabilitar defesas e estabelecer persistência - tudo isso com a aparência de um processo legítimo do sistema operacional. A técnica também é utilizada remotamente via [[t1021-remote-services|Remote Services]] como [[t1021-004-ssh|SSH]] ou WMI, tornando-a parte central em movimentações laterais. A subtécnica T1059.003 é subconjunto da técnica pai [[t1059-command-and-scripting-interpreter|T1059 - Command and Scripting Interpreter]] e frequentemente aparece combinada com outras técnicas de [[t1562-impair-defenses|evasão de defesas]], [[t1547-boot-autostart-execution|persistência via autostart]] e exfiltração de dados. Grupos como [[g0102-conti-group|Wizard Spider]] - operadores do ransomware Ryuk - usam o `cmd.exe` extensivamente para redicionar output de comandos de reconhecimento para arquivos temporários antes de exfiltrar os resultados. **Contexto Brasil/LATAM:** O uso do Windows Command Shell é onipresente em incidentes investigados no Brasil. Grupos de ransomware que atuam na região - incluindo afiliados de operações como RansomHub e Black Basta - utilizam scripts `.bat` para desabilitar o Windows Defender, remover shadow copies (`vssadmin delete shadows /all /quiet`) e preparar o ambiente para criptografia. O [[g1017-volt-typhoon|Volt Typhoon]], com alvos em infraestrutura crítica, também emprega cmd para [[t1069-permission-groups-discovery|reconhecimento de grupos]] e enumeração de rede via comandos nativos do Windows (técnica conhecida como *living off the land*). ## Attack Flow ```mermaid graph TB A["T1566 Phishing / Acesso Inicial"] --> B["T1059 Command Interpreter"] B --> C["T1059.003 Windows CMD Shell (cmd.exe)"]:::highlight C --> D["T1082 System Info Discovery"] C --> E["T1547 Persistência Autostart"] classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona 1. **Preparação:** O adversário obtém execução de código na máquina alvo - geralmente por meio de [[t1566-phishing|phishing]], exploração de vulnerabilidade ou acesso remoto legítimo comprometido. Um payload inicial (dropper, macro Office, script PowerShell) invoca o `cmd.exe` diretamente ou escreve um arquivo `.bat` em disco. 2. **Execução:** O `cmd.exe` é chamado com os argumentos do atacante. Padrões comuns incluem: `cmd.exe /c <comando>` (executa e encerra), `cmd.exe /k <comando>` (executa e mantém o shell aberto) e `cmd.exe /q /c <script.bat>` (modo silencioso com script em lote). O shell pode receber input/output redirecionados por um canal C2, tornando a sessão interativa remota. 3. **Pós-execução:** Com o shell ativo, o adversário executa comandos de reconhecimento (`whoami`, `net user`, `ipconfig`, `tasklist`), estabelece [[t1547-boot-autostart-execution|persistência]] via registro ou tarefas agendadas, instala ferramentas adicionais como [[s0681-lizar|Lizar]] ou [[flawedammyy|FlawedAmmyy]], e pode iniciar [[t1021-remote-services|movimentação lateral]] para outros sistemas da rede. ## Detecção **Fontes de dados:** - **Sysmon Event ID 1** - Process Creaté: monitorar processos pai incomuns invocando `cmd.exe` (ex: `winword.exe` → `cmd.exe`, `mshta.exe` → `cmd.exe`) - **Windows Event Log 4688** - A new process has been created: captura criação de processos com linha de comando completa (requer auditoria de linha de comando habilitada via GPO) - **Sysmon Event ID 11** - FileCreaté: arquivos `.bat` e `.cmd` criados em pastas temporárias (`%TEMP%`, `%APPDATA%`) - **EDR Process Telemetry** - Correlação de árvore de processos: `cmd.exe` como filho de processos de download ou Office **Sigma Rule:** ```yaml title: Windows CMD Shell Spawned by Suspicious Parent id: 7e3b5a91-0c2f-4d8a-b6e1-2f9c3d7a4b5e status: experimental description: Detects cmd.exe spawned by suspicious parent processes commonly abused in phishing and initial access scenarios author: RunkIntel daté: 2026/03/24 logsource: category: process_creation product: windows detection: selection: Image|endswith: '\cmd.exe' ParentImage|endswith: - '\winword.exe' - '\excel.exe' - '\powerpnt.exe' - '\mshta.exe' - '\wscript.exe' - '\cscript.exe' - '\rundll32.exe' filter_legitimate: CommandLine|contains: - '/c echo' - 'Office\root' condition: selection and not filter_legitimate falsepositives: - Macros legítimas de automação Office - Scripts administrativos internos level: high tags: - attack.execution - attack.t1059.003 ``` ## Mitigação | Mitigação | Recomendação Prática | |-----------|---------------------| | [[m1038-execution-prevention\|M1038 - Execution Prevention]] | Usar AppLocker ou Windows Defender Application Control (WDAC) para bloquear execução de `cmd.exe` por usuários não administrativos. Criar regras de path que impeçam `cmd.exe` de ser invocado a partir de `%TEMP%` ou `%APPDATA%`. | | Monitoramento de Linha de Comando | Habilitar auditoria de criação de processos com linha de comando completa via GPO: *Configuração do Computador → Políticas → Configurações do Windows → Configurações de Segurança → Configuração Avançada de Auditoria*. | | Restrição de Scripts em Lote | Bloquear execução de arquivos `.bat` e `.cmd` por usuários não privilegiados. Em ambientes corporativos brasileiros, avaliar proibição completa de scripts de lote para usuários finais. | | EDR com Análise Comportamental | Soluções EDR (CrowdStrike, SentinelOne, Microsoft Defender for Endpoint) detectam padrões de uso anômalo do `cmd.exe` via análise de árvore de processos e comandos executados. | ## Threat Actors - [[g0032-lazarus-group|Lazarus Group]] - usa `cmd.exe` em múltiplas fases da [[operation-dreamjob|Operation DreamJob]], incluindo execução de loaders e reconhecimento pós-comprometimento - [[g0039-suckfly|Suckfly]] - emprega scripts `.bat` para instalação de ferramentas de movimentação lateral - [[g0093-gallium|GALLIUM]] - grupo de espionagem com histórico de uso de cmd para exfiltração via comandos nativos - [[g0059-magic-hound|Magic Hound]] - operadores iranianos que combinam `cmd.exe` com PowerShell em campanhas de spear-phishing - [[g0128-zirconium|ZIRCONIUM]] - APT chinês que utiliza o shell para execução de RATs e coleta de credenciais - [[g0070-dark-caracal|Dark Caracal]] - grupo com nexo ao Líbano, usa scripts de lote em campanhas de espionagem móvel e desktop - [[g0102-conti-group|Wizard Spider]] - operadores do Ryuk/Conti, usam `.bat` para remoção de shadow copies e desativação do Windows Defender - [[g1017-volt-typhoon|Volt Typhoon]] - *living off the land* extensivo via `cmd.exe` e comandos nativos do Windows - [[g0049-oilrig|OilRig]] - APT iraniano com uso documentado de `cmd.exe` para execução de payloads e persistência - [[g0027-threat-group-3390|Threat Group-3390]] - grupo chinês (APT27) com histórico de cmd em campanhas de espionagem industrial ## Software Associado - [[s0053-seaduke|SeaDuke]] (malware) - backdoor que utiliza `cmd.exe` para execução de comandos remotos - [[s0259-innaputrat|InnaputRAT]] (malware) - RAT que spawn shells cmd para execução de payloads adicionais - [[s0187-daserf|Daserf]] (malware) - implant jáponês que usa `cmd.exe` para coleta de informações do sistema - [[s0046-cozycar|CozyCar]] (malware) - dropper do APT29 com execução via cmd - [[outsteel|OutSteel]] (malware) - stealer ucraniano que abusa de scripts `.bat` - [[s0229-orz|Orz]] (malware) - implant que executa comandos via shell nativo - [[s0475-backconfig|BackConfig]] (malware) - RAT paquistanês com execução de comandos via `cmd.exe` - [[flawedammyy|FlawedAmmyy]] (malware) - RAT do TA505 com controle remoto via shell - [[s1141-lunarweb|LunarWeb]] (malware) - backdoor com execução de comandos shell - [[s0681-lizar|Lizar]] (malware) - toolkit modular que usa `cmd.exe` como vetor de execução --- *Fonte: [MITRE ATT&CK - T1059.003](https://attack.mitre.org/techniques/T1059/003)*