Lateral Movement em Lab: SMB, WMI e WinRM com Foco em Deteccao

Movimentacao lateral nao e magia: e o atacante reusando credenciais validas dentro de protocolos legitimos. No nosso lab GOAD com tres Windows Server 2019 e um Windows 10 ingressados ao dominio sevenkingdoms.local, conseguimos pivotar de uma estacao para o DC em menos de oito minutos usando apenas SMB, WMI e WinRM. O objetivo aqui nao e treinar pivot por pivot, e sim mostrar onde cada tecnica grita nos logs e como escrever a deteccao antes do incidente real. Se voce ainda nao montou seu ambiente, comece pelo Active Directory Pentest: Kerberoasting Passo a Passo em Lab GOAD para ter o terreno pronto.

Comecamos pelo SMB classico com impacket-psexec e smbexec. Apos coletar um hash NTLM via Responder, executamos psexec.py sevenkingdoms.local/jaime@10.0.10.10 -hashes :aad3b... e caimos como SYSTEM. O barulho aqui e enorme: criacao do servico RemComSvc no Event ID 7045, escrita do binario em ADMIN$ gerando Event ID 5145 com share name ADMIN$ e RelativeTargetName terminando em .exe aleatorio. A regra Sigma fica curta: filtrar 7045 onde ServiceFileName contem padroes de oito caracteres alfanumericos seguidos de .exe pega 90 porcento das variantes de psexec sem precisar de assinatura de binario.

WMI muda a superficie de log. Usando wmiexec.py do impacket ou Invoke-WmiMethod direto, o processo filho nasce de WmiPrvSE.exe em vez de services.exe. No Sysmon, isso aparece como Event ID 1 com ParentImage=C:\Windows\System32\wbem\WmiPrvSE.exe e CommandLine contendo cmd.exe /Q /c que e a assinatura padrao do wmiexec. Combine com Event ID 3 (network connection) saindo da maquina alvo na porta 445 para puxar o output e voce tem alta confianca. Para hunting amplo desse tipo de LOLBin abuse, vale revisar o Hunting de Living-off-the-Land Binaries no Windows com KQL e adaptar as queries para sua stack.

WinRM e o queridinho de operadores modernos porque parece trafego administrativo legitimo. Disparamos Enter-PSSession -ComputerName dc01 -Credential $cred e Invoke-Command remoto. Os indicadores ficam em tres lugares: Microsoft-Windows-WinRM/Operational Event ID 91 (sessao criada), Security Event ID 4624 com LogonType 3 e AuthenticationPackage Negotiate, e Sysmon Event ID 1 com ParentImage=wsmprovhost.exe. A regra Sigma boa correlaciona wsmprovhost.exe como pai de qualquer processo que nao seja conhost.exe ou csrss.exe dentro de uma janela de cinco minutos, eliminando o ruido do PowerShell DSC.

A parte que ninguem te conta: detectar tecnica isolada e facil, detectar cadeia inteira e que importa. Construimos um playbook no Elastic que encadeia Responder hit -> hash crack -> primeiro logon Type 3 com hash NT em maquina nunca antes acessada por aquele usuario -> spawn de wsmprovhost ou WmiPrvSE em menos de dez minutos. Essa correlacao temporal reduziu falso positivo de 40 alertas por dia para 2 por semana no nosso lab simulado. Se voce esta comecando agora com Sigma e Elastic, o Threat Hunting com Sigma e Elastic: Do Indicador a Regra de Deteccao cobre o pipeline ELK + sigmac que usamos como base.

Vale lembrar que tudo isso pressupoe telemetria decente. Sem Sysmon com config Olaf ou SwiftOnSecurity, sem PowerShell Script Block Logging habilitado (Event ID 4104) e sem coleta dos canais WinRM e WMI-Activity, suas regras Sigma viram poesia. No GOAD aplicamos um GPO minimo que liga esses quatro pontos em todas as maquinas; e o mesmo baseline que recomendamos no Hardening de Windows 11 para Estacoes de Trabalho de Alto Risco para estacoes corporativas. Telemetria primeiro, regra depois, sempre nessa ordem, caso contrario voce esta detectando o atacante pelo silencio dos logs que nao chegam.

Por fim, OPSEC do pesquisador: laboratorios de movimentacao lateral geram hashes, kerberos tickets e amostras que nao podem vazar para sua estacao real. Trabalhamos sempre em VMs isoladas em rede host-only, com snapshots antes de cada execucao, e nunca reutilizamos passwords entre lab e producao pessoal. Para uma visao mais ampla de isolamento de ambientes de pesquisa, OPSEC para Pesquisadores de Seguranca: Modelo de Ameaca Pessoal traz o modelo que adotamos. Takeaway pratico: escolha uma tecnica desta semana (sugerimos WMI por ser a mais sub-detectada), reproduza no GOAD, escreva a regra Sigma, valide com Atomic Red Team T1047 e so depois passe para a proxima. Ciclo curto, deteccao real.