t1021-006-windows-remote-management

# T1021.006 - Windows Remote Management ## Técnica Pai Esta é uma sub-técnica de [[t1021-remote-services|T1021 - T1021 - Remote Services]]. ## Descrição **T1021.006 - Windows Remote Management (WinRM)** é uma subtécnica de [[t1021-remote-services|T1021 - Remote Services]] que descreve o uso de contas válidas ([[t1078-valid-accounts|T1078]]) para interagir com sistemas Windows remotos por meio do protocolo WS-Management (WinRM). O adversário autentica-se no serviço WinRM - escutando nas portas 5985 (HTTP) ou 5986 (HTTPS) - e executa comandos, modifica o registro ou controla serviços remotamente, como se estivesse logado localmente. WinRM é habilitado por padrão em versões mais recentes do Windows Server e pode ser invocado via linha de comando (`winrm`), PowerShell (`Invoke-Command`, `Enter-PSSession`, `New-PSSession`) ou ferramentas de C2 como [[s0154-cobalt-strike|Cobalt Strike]] e [[brute-ratel-c4|Brute Ratel C4]]. Por ser um protocolo legítimo de administração, o tráfego WinRM frequentemente passa despercebido por controles de rede e soluções EDR mal configuradas. A técnica também pode ser usada para interagir com o [[t1047-windows-management-instrumentation|WMI (T1047)]], combinando duas técnicas de movimentação lateral poderosas. No contexto brasileiro e latinoamericano, grupos como [[g1016-fin13|FIN13]] - especializado em ataques a instituições financeiras mexicanas e com técnicas aplicáveis ao Brasil - e [[g1053-storm-0501|Storm-0501]] exploram WinRM ativamente em campanhas de ransomware. Empresas financeiras, varejo e manufatura com grandes ambientes Windows e Active Directory mal segmentados são alvos preferênciais. > [!warning] Relevância Brasil/LATAM > O [[g1016-fin13|FIN13]] foi documentado usando WinRM para movimentação lateral em redes de bancos e fintechs mexicanas - padrão de ataque diretamente aplicável a instituições financeiras brasileiras com infraestrutura Windows corporativa. Grupos de ransomware como [[g0102-conti-group|Wizard Spider]] (Ryuk/Conti) também utilizam WinRM em fases de pré-ransomware para preparar a implantação em massa de payloads. --- ## Attack Flow ```mermaid graph TB A([Acesso Inicial Phishing / Exploit]) --> B([Credenciais Válidas T1078]) B --> C([Descoberta Enumeração de Hosts]) C --> T1021006([T1021.006 Windows Remote Management]):::highlight T1021006 --> E([Execução Remota PowerShell / WMI]) E --> F([Impacto Ransomware / Exfiltração]) classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b,stroke-width:2px ``` --- ## Como Funciona **Passo 1 - Obtenção de credenciais válidas** O adversário obtém credenciais de domínio com privilégios suficientes para autenticar no WinRM de sistemas remotos. Isso tipicamente ocorre após dumping de credenciais ([[t1003-os-credential-dumping|T1003]]) com ferramentas como Mimikatz, roubo de tokens ou password spraying contra contas de administrador de domínio. O [[g1016-fin13|FIN13]] frequentemente obtém credenciais de contas de serviço com direitos de administrador local para pivotar lateralmente via WinRM sem disparar alertas de escalonamento de privilégio. **Passo 2 - Conexão WinRM e execução remota** Com credenciais em mãos, o adversário inicia sessão remota usando PowerShell (`Enter-PSSession -ComputerName alvo -Credential $cred`) ou via ferramentas de C2 como [[s0154-cobalt-strike|Cobalt Strike]] (módulo `winrm`) e [[brute-ratel-c4|Brute Ratel C4]]. Alternativamente, `Invoke-Command` executa scripts remotamente sem abrir sessão interativa, reduzindo rastros. O [[s0692-silenttrinity|SILENTTRINITY]] também suporta transporte WinRM para C2, misturando-se ao tráfego legítimo de administração. **Passo 3 - Ações pós-movimentação lateral** Após estabelecer acesso ao sistema alvo, o adversário executa tarefas operacionais: coleta de dados sensíveis, implantação de payloads de ransomware, modificação de GPOs para persistência em massa, ou uso do sistema comprometido como novo pivô para segmentos de rede adicionais. O [[g0102-conti-group|Wizard Spider]] utilizou WinRM para implantar o ransomware Ryuk de forma coordenada em centenas de sistemas simultaneamente após obter acesso a controladores de domínio. --- ## Detecção ### Event IDs Windows Relevantes | Event ID | Log | Descrição | Prioridade | |---|---|---|---| | 4624 | Security | Logon bem-sucedido (Tipo 3 - Network) via WinRM | Alta | | 4648 | Security | Logon com credenciais explícitas (RunAs / PSSession) | Alta | | 4688 | Security | Criação de processo: `wsmprovhost.exe` (processo filho do WinRM) | Crítica | | 91 | Microsoft-Windows-WinRM/Operational | Shell WinRM criado em host remoto | Crítica | | 6 | Microsoft-Windows-WinRM/Operational | Cliente WinRM iniciou conexão remota | Alta | | 800 | PowerShell | Execução de pipeline PowerShell remoto | Alta | | 4103/4104 | PowerShell | Script block logging - conteúdo de comandos remotos | Alta | ### Regra Sigma - Uso Anômalo de WinRM ```yaml title: Movimentação Lateral via Windows Remote Management (WinRM) id: t1021-006-winrm-lateral-movement status: stable description: > Detecta uso suspeito de WinRM para movimentação lateral, identificado pela criação do processo wsmprovhost.exe com processos filhos incomuns. logsource: category: process_creation product: windows detection: selection_parent: ParentImage|endswith: '\wsmprovhost.exe' selection_suspicious_child: Image|endswith: - '\cmd.exe' - '\powershell.exe' - '\wscript.exe' - '\cscript.exe' - '\mshta.exe' - '\rundll32.exe' - '\regsvr32.exe' condition: selection_parent and selection_suspicious_child falsepositives: - Scripts de automação legítimos via WinRM (ex: Ansible, SCCM, MECM) - Tarefas agendadas de administração executando via PSSession level: high tags: - attack.lateral_movement - attack.t1021.006 ``` --- ## Mitigação | Controle | Descrição | Aplicabilidade Brasil/LATAM | |---|---|---| | Desabilitar WinRM onde não necessário ([[m1042-disable-or-remove-feature-or-program\|M1042]]) | Desativar o serviço WinRM em workstations e servidores que não precisam de administração remota via WS-Man | Especialmente relevante em ambientes financeiros com workstations de usuários finais | | Gestão de contas privilegiadas ([[m1026-privileged-account-management\|M1026]]) | Implementar PAM (Privileged Access Management); separar contas de admin de contas de usuário; usar contas de serviço dedicadas sem direitos de logon interativo | Crítico para empresas com AD grandes - prioridade para bancos e fintechs brasileiros | | Segmentação de rede ([[m1030-network-segmentation\|M1030]]) | Bloquear portas 5985/5986 entre segmentos de rede não relacionados; usar ACLs de firewall para limitar quais hosts podem iniciar conexões WinRM | Implantação via GPO ou firewall de host no Windows Defender Firewall | | Logging ampliado de PowerShell | Habilitar Script Block Logging (Event IDs 4103/4104) e Module Logging; encaminhar logs para SIEM | Obrigatório para detecção de comandos maliciosos via `Invoke-Command` e `Enter-PSSession` | | JEA (Just Enough Administration) | Restringir quais cmdlets e scripts podem ser executados via WinRM por usuário/grupo | Controle granular para times de operações que precisam de acesso legítimo | | MFA para acesso remoto privilegiado | Implementar autenticação multifator para contas de administrador de domínio | Mitiga risco de roubo de credenciais; aplicável em conjunto com soluções PAM como CyberArk ou BeyondTrust | --- ## Threat Actors e Software > [!danger] Principais Operadores desta Técnica ### [[g1016-fin13|FIN13]] Grupo financeiramente motivado com histórico de operações contra instituições financeiras e varejistas na América Latina, especialmente México. Utiliza WinRM combinado com [[t1047-windows-management-instrumentation|WMI]] para movimentação lateral furtiva em redes Windows corporativas. Suas TTPs são diretamente aplicáveis ao setor financeiro brasileiro, que opera infraestruturas Windows similares. ### [[g1053-storm-0501|Storm-0501]] Afiliado de ransomware-as-a-service (RaaS) com operações documentadas no Brasil e em outros países LATAM. Usa WinRM na fase de pré-ransomware para comprometer controladores de domínio e preparar implantação em massa de payloads de criptografia. ### [[g0102-conti-group|Wizard Spider]] Operador do ransomware Ryuk/Conti, documentado usando WinRM em campanhas contra hospitais, governo e manufatura. Ao comprometer um controlador de domínio, usa WinRM para implantar Ryuk simultaneamente em toda a infraestrutura Windows. ### [[g0114-chimera|Chimera]] Grupo de espionagem com foco em semicondutores e aviação. Utiliza WinRM para movimentação lateral furtiva em redes corporativas, frequentemente combinado com [[t1078-valid-accounts|contas válidas]] de VPN. ### [[g0027-threat-group-3390|Threat Group-3390]] APT chinês com histórico de operações de espionagem contra governos e setor de energia. Usa WinRM como parte de um kit de movimentação lateral que também inclui [[t1047-windows-management-instrumentation|WMI]] e PsExec. ### Software Associado | Software | Tipo | Uso em T1021.006 | |---|---|---| | [[s0154-cobalt-strike\|Cobalt Strike]] | Framework C2 | Módulo WinRM para execução remota e pivoting | | [[brute-ratel-c4\|Brute Ratel C4]] | Framework C2 | Suporte nativo a WinRM para movimentação lateral | | [[s0692-silenttrinity\|SILENTTRINITY]] | Framework C2 | Transporte WinRM para comúnicação C2 encoberta | --- *Fonte: [MITRE ATT&CK - T1021.006](https://attack.mitre.org/techniques/T1021/006)*