# T1021.002 - SMB/Windows Admin Shares
## Técnica Pai
Esta é uma sub-técnica de [[t1021-remote-services|T1021 - T1021 - Remote Services]].
## Descrição
**SMB/Windows Admin Shares** (T1021.002) é a exploração dos compartilhamentos administrativos padrão do Windows - `C
, `ADMIN
e `IPC
- via protocolo SMB para realizar movimentação lateral entre sistemas com credenciais válidas. O adversário não precisa explorar vulnerabilidades: basta possuir um par usuário/senha com privilégios administrativos no sistema de destino. A técnica é extremamente silenciosa em ambientes mal monitorados, pois o tráfego SMB legítimo é volumoso e raramente alertado por padrão.
As ferramentas mais associadas a esta técnica são `PsExec`, `wmic`, `net use` e os módulos da suite Impacket (`psexec.py`, `smbexec.py`, `wmiexec.py`). O `PsExec` é o favorito histórico: copia um executável temporário para o compartilhamento `ADMIN
e o registra como serviço no host remoto, obtendo execução de código com privilégios SYSTEM sem necessidade de nenhum software pré-instalado. A Impacket, por sua vez, tornou-se a escolha preferida de grupos de ransomware modernos por ser baseada em Python e altamente portável.
**Contexto Brasil/LATAM:** Em incidentes brasileiros investigados entre 2023 e 2025 - especialmente os que envolvem [[lockbit|LockBit]], grupos afiliados e operadores de ransomware-as-a-service locais - o padrão observado é consistente: após o comprometimento inicial via [[t1566-phishing|phishing]] ou exploração de VPNs vulneráveis, os atacantes realizam dump de credenciais com [[mimikatz|Mimikatz]] e utilizam SMB Admin Shares via PsExec ou Impacket para propagar o encryptor a dezenas ou centenas de máquinas em minutos. Organizações do setor financeiro e governo brasileiro são os alvos mais documentados, com redes planas (sem microssegmentação) amplificando drasticamente o raio de impacto.
## Attack Flow
```mermaid
graph TB
A["T1566<br/>Phishing<br/>(Acesso Inicial)"] --> B["T1003<br/>Credential Dumping<br/>(Credenciais)"]
B --> C["T1558<br/>Kerberos Tickets<br/>(Escalada)"]
C --> D["T1021.002<br/>SMB Admin Shares<br/>(Movimentação Lateral)"]:::highlight
D --> E["T1570<br/>Lateral Tool Transfer<br/>(Deploy do Encryptor)"]
E --> F["T1486<br/>Data Encrypted<br/>(Ransomware)"]
classDef highlight fill:#e74c3c,color:#fff
```
## Como Funciona
**1. Preparação**
O adversário obtém credenciais administrativas válidas - via [[t1003-os-credential-dumping|Credential Dumping]] com Mimikatz, reutilização de senhas capturadas, ou ticket Kerberos forjado ([[t1558-steal-or-forge-kerberos-tickets|T1558]]). A conta precisa ser membro do grupo local `Administrators` ou `Domain Admins` no host-alvo. Em organizações brasileiras com administração centralizada via GPO, uma única conta de domínio comprometida frequentemente concede acesso a dezenas de máquinas.
**2. Execução**
Com credenciais em mãos, o atacante utiliza `PsExec` ou `psexec.py` (Impacket):
```
psexec.py DOMINIO/usuario:
[email protected] cmd.exe
```
O binário é copiado para `\\host\ADMIN$\PSEXESVC.exe` via SMB, registrado como serviço Windows (EventID 7045), e executado remotamente. Ferramentas como `smbexec.py` e `wmiexec.py` realizam execução semelhante sem gravar arquivos em disco, tornando detecção mais difícil. O atacante pode executar comandos, transferir payloads ou lançar o ransomware diretamente via `net use` + `copy`.
**3. Pós-execução**
O adversário tipicamente remove o serviço temporário e limpa logs (Event Log clearing - [[t1070-indicator-removal|T1070]]). Em ataques de ransomware, o encryptor é executado simultaneamente em múltiplos hosts via batch de conexões SMB paralelas, maximizando o impacto antes de qualquer resposta de defesa. Em incidentes de espionagem como o [[solarwinds-supply-chain-attack|SolarWinds Supply Chain Attack]], o movimento lateral via SMB foi usado para alcançar sistemas de alta sensibilidade dentro de redes já comprometidas.
## Detecção
**Event IDs relevantes:**
| Event ID | Fonte | Descrição |
|----------|-------|-----------|
| `4624` | Security | Logon bem-sucedido - filtrar Type 3 (Network) de workstations para workstations |
| `4648` | Security | Logon com credenciais explícitas - indicativo de `net use` ou PsExec |
| `5140` | Security | Acesso a compartilhamento de rede - monitorar acesso a `C
, `ADMIN
, `IPC
|
| `5145` | Security | Acesso a objeto em compartilhamento de rede - acesso a `PSEXESVC.exe` |
| `7045` | System (host remoto) | Novo serviço instalado - `PSEXESVC` ou nomes aleatórios são alertas críticos |
| `4697` | Security | Serviço instalado no sistema - correlacionar com EventID 5140 |
**Sigma Rule - Detecção de PsExec via SMB Admin Share:**
```yaml
title: Lateral Movement via PsExec/SMB Admin Share
id: a8b2c4d6-e8f0-4a2b-8c6d-e0f2a4b6c8d0
status: experimental
description: Detecta instalação de serviço temporário associado ao PsExec em hosts Windows
author: RunkIntel
daté: 2026-03-24
logsource:
product: windows
service: system
detection:
selection:
EventID: 7045
ServiceName|contains:
- 'PSEXESVC'
- 'PAEXEC'
condition: selection
falsepositives:
- Ferramentas legítimas de administração remota (documentar e excluir)
level: high
tags:
- attack.lateral_movement
- attack.t1021.002
```
**Sigma Rule - Acesso a Admin Share de workstation para workstation:**
```yaml
title: SMB Admin Share Access - Lateral Movement Pattern
id: b9c3d5e7-f1a3-5b7c-9d1e-f3a5b7c9e1a3
status: experimental
description: Detecta acesso a compartilhamentos administrativos entre workstations (lateral, não servidor-cliente)
author: RunkIntel
daté: 2026-03-24
logsource:
product: windows
service: security
detection:
selection:
EventID: 5140
ShareName|contains:
- 'ADMIN
- 'C