Windows - Fase 3: Pós-exploração
Objetivo
Medir alcance real do comprometimento no ecossistema Windows/AD, validando canais laterais autorizados com mínimo impacto operacional e evidência suficiente para contenção, segmentação e reteste.
Checklist de Pós-exploração
- Confirmar origem, identidade, tipo de credencial e autorização antes de tocar o destino.
- Separar alcance de rede de execução remota: porta aberta não significa impacto.
- Validar um canal por vez: SMB, WinRM, RDP, WMI ou MSSQL.
- Identificar ativos críticos alcançáveis e controles que deveriam bloquear o pivô.
- Consolidar evidência com origem, destino, identidade, técnica, horário e resultado.
Comandos Operacionais
terminal
# Contexto de sessão e autenticação
query user
qwinsta
klist
# Alcance em rede/domínio
net view /domain
net view \\HOST-ALVO
nltest /dclist:DOMINIO.LOCAL
# Compartilhamentos e uso de credenciais
net share
net use
dir \\HOST-ALVO\C$ 2>nul
# Canais remotos comuns
winrm enumerate winrm/config/listener
Test-WSMan HOST-ALVO
qwinsta /server:HOST-ALVO
# Linha do tempo
auditpol /get /category:*
wevtutil qe Security /c:20 /f:textCanais de Movimento Lateral
| Canal | Pré-condição | Validação segura | Detecção |
|---|---|---|---|
| SMB/Admin shares | Credencial tem acesso administrativo ou share sensível no destino. | Listagem controlada de share e leitura de arquivo não sensível. | Logon type 3, acesso a share administrativo e criação de serviço. |
| WinRM | WinRM exposto e identidade autorizada para PowerShell Remoting. | `Test-WSMan` e comando não destrutivo para hostname/usuário. | Eventos PowerShell, WinRM Operational e logon remoto. |
| RDP | Usuário permitido em Remote Desktop Users ou grupo administrativo. | Comprovar permissão sem sessão interativa longa. | Logon type 10, eventos TerminalServices e origem incomum. |
| WMI | Permissão remota WMI/DCOM e credencial com direito de execução. | Consulta de sistema, processo ou serviço sem criar persistência. | WMI Activity, criação remota de processo e autenticação lateral. |
| MSSQL | Conta Windows ou SQL alcança instância com permissão sensível. | Consulta de versão, role e linked servers em escopo. | Login anômalo, role privilegiada e uso de execução externa. |
Mapeamento ATT&CK
- TA0008 Lateral Movement: alcance lateral validado com origem, destino e identidade.
- T1021 Remote Services: família principal para SMB, WinRM, RDP, WMI e administração remota.
- T1021.002 SMB/Windows Admin Shares: acesso a shares administrativos e execução remota associada.
- T1021.001 Remote Desktop Protocol: pivô por RDP e sessão interativa.
- T1021.006 Windows Remote Management: PowerShell Remoting e WinRM.
Validação e Evidência
- Registrar origem, destino, identidade e técnica de pivô.
- Diferenciar senha, hash, ticket e token para não exagerar nem subestimar impacto.
- Mapear impacto por ativo: autenticação aceita, acesso a share, execução remota, exposição de dados ou alcance a Tier-0.
- Relacionar cada movimento ao controle defensivo que deveria bloquear/detectar.
Mitigação e Detecção
- Restringir administração remota por tier: estação não administra servidor e servidor não administra controlador de domínio.
- Bloquear tráfego lateral desnecessário entre workstations, principalmente SMB, WinRM, RDP e WMI.
- Usar Windows LAPS, Protected Users, Credential Guard e redução de administradores locais quando aplicável.
- Correlacionar logons laterais, origem fora do baseline, criação remota de serviço/processo e uso de share administrativo.
- Retestar com a mesma identidade e origem usadas na PoC para confirmar bloqueio e alerta.