# T1021.002 - SMB/Windows Admin Shares
## Descrição
O **SMB (Server Message Block)** é o protocolo nativo do Windows para compartilhamento de arquivos, impressoras e comunicação entre processos (IPC) em redes locais. Além dos compartilhamentos criados por usuários, o Windows expõe por padrão **compartilhamentos administrativos ocultos** - identificados pelo cifrão no nome: `C
, `ADMIN
, `IPC
- que são acessíveis apenas a administradores e não aparecem na listagem normal de rede.
Adversários com [[t1078-valid-accounts|Contas Válidas]] com privilégios de administrador podem usar esses compartilhamentos para se movimentar lateralmente: copiar ferramentas maliciosas para sistemas remotos, executar payloads via [[t1569-002-service-execution|Service Execution]] ou [[t1053-scheduled-task-job|Scheduled Task]], e interagir com o sistema via [[t1047-windows-management-instrumentation|WMI]]. A técnica também pode ser combinada com [[t1550-002-pass-the-hash|Pass-the-Hash]] para autenticação sem conhecer a senha em texto claro.
> **Contexto Brasil/LATAM:** O SMB lateral movement é a espinha dorsal de ransomwares como [[conti|Conti]], [[s0446-ryuk|Ryuk]] e [[s1073-royal-blacksuit|Royal]] - grupos com histórico documentado de ataques a hospitais, prefeituras e empresas industriais no Brasil. O [[g1016-fin13|FIN13]], grupo criminoso com foco específico em instituições financeiras mexicanas e latino-americanas, usa extensivamente SMB Admin Shares para propagação. Ambientes Windows corporativos brasileiros que ainda operam com SMBv1 habilitado (comum em sistemas legados) ou que não segregam tráfego SMB entre VLANs são altamente vulneráveis. O [[sources|CERT.br]] emitiu múltiplos alertas sobre propagação de ransomware via SMB em 2024 e 2025.
> **Técnica pai:** [[t1021-remote-services|T1021 - Remote Services]]
---
## Attack Flow
```mermaid
graph TB
A([Acesso Inicial]) --> B[Dump de Credenciais<br/>t1003-os-credential-dumping]
B --> C{Hash NTLM\nou senha?}
C -->|Hash| D[Pass-the-Hash<br/>t1550-002]
C -->|Senha| E[Autenticação SMB<br/>direta]
D --> F([T1021.002 - SMB Admin Shares<br/>Movimentação Lateral]):::highlight
E --> F
F --> G[Cópia de payload<br/>para C$ ou ADMIN$]
G --> H[Execução remota<br/>t1569-002 / t1053]
H --> I[Propagação para<br/>próximo host]
I --> F
classDef highlight fill:#e74c3c,color:#fff
```
---
## Como Funciona
**Passo 1 - Obtenção de credenciais privilegiadas**
O adversário obtém credenciais de administrador local ou de domínio através de [[t1003-os-credential-dumping|OS Credential Dumping]] (Mimikatz, secretsdump), captura de hashes NTLM via [[NBT-NS Poisoning]] ou reutilização de senhas de contas comprometidas anteriormente. Em ambientes de domínio Windows, uma conta de administrador local com a mesma senha em múltiplos hosts (configuração comum antes do LAPS) permite propagação em massa.
**Passo 2 - Conexão ao compartilhamento administrativo remoto**
Com as credenciais (ou hash NTLM via [[t1550-002-pass-the-hash|Pass-the-Hash]]), o adversário conecta ao compartilhamento oculto do alvo: `\\HOST\C
ou `\\HOST\ADMIN
. Ferramentas como `net use`, [[psexec|PsExec]], `smbclient` (Linux) ou módulos do [[t1059-001-powershell|PowerShell]] (`New-PSDrive`, `Invoke-Command`) facilitam o acesso. O tráfego ocorre pela porta 445/TCP e se confunde com tráfego SMB legítimo.
**Passo 3 - Execução remota e propagação**
Com acesso ao sistema de arquivos remoto, o adversário copia payloads (ransomware, backdoors, ferramentas de reconhecimento) para o diretório alvo e os executa remotamente via [[t1569-002-service-execution|Service Execution]] (sc.exe), [[t1053-scheduled-task-job|Scheduled Task]] (at.exe, schtasks.exe) ou [[t1047-windows-management-instrumentation|WMI]]. Ransomwares como [[conti|Conti]] e [[s0368-notpetya|NotPetya]] automatizam esse ciclo para propagação em toda a rede em minutos.
---
## Detecção
### Event IDs relevantes (Windows)
| Event ID | Fonte | Descrição |
|----------|-------|-----------|
| 5140 | Security | Acesso a compartilhamento de rede - filtrar por `ADMIN
, `C
, `IPC
de IPs não autorizados |
| 5145 | Security | Acesso a objeto em compartilhamento de rede - detalha arquivos acessados via SMB admin share |
| 4624 | Security | Logon bem-sucedido (Tipo 3 = Network) - correlacionar com Event 5140 no mesmo host |
| 4648 | Security | Logon com credenciais explícitas - indica uso de `runas` ou pass-the-hash |
| 4672 | Security | Logon com privilégios especiais atribuídos - conta com SeDebugPrivilege ou SeTcbPrivilege |
| 7045 | System | Novo serviço instalado - PsExec e variantes criam serviços temporários remotamente |
| 1 | Sysmon | Process Creaté - cmd.exe/PowerShell spawned por services.exe após criação de serviço remoto |
| 3 | Sysmon | Network Connection - conexões de saída na porta 445/TCP de processos não usuais |
### Sigma Rule
```yaml
title: Movimentação Lateral via SMB Admin Shares
id: b7d42e91-3c8f-4a12-9f55-d7410bc23456
status: stable
description: >
Detecta acesso a compartilhamentos administrativos Windows (C$, ADMIN$, IPC$)
seguido de criação de serviço ou tarefa agendada no host remoto - padrão
típico de ferramentas como PsExec, Impacket e ransomwares como Conti/Ryuk.
Alta relevância para ambientes corporativos brasileiros.
references:
- https://attack.mitre.org/techniques/T1021/002
author: RunkIntel
daté: 2026-03-24
tags:
- attack.lateral_movement
- attack.t1021.002
- attack.t1550.002
logsource:
product: windows
service: security
detection:
selection_share_access:
EventID: 5140
ShareName:
- 'ADMIN
- 'C