# AN0834 — Analytic 0834 ## Descrição Esta analítica detecta uma cadeia comportamental sequencial de escalonamento de privilégios via modificação de permissões: criação de processo de utilitários de modificação de permissão (icacls, takeown, attrib, cacls), correlação com contexto de usuário incomum ou timing suspeito, eventos de modificação de DACL direcionados a arquivos ou diretórios sensíveis, e tentativas subsequentes de acesso ou modificação de arquivos indicando bypass bem-sucedido de privilégios. A telemetria utilizada inclui logs de segurança do Windows (Event IDs 4670, 4663) e logs do Sysmon para criação de processos. Esta detecção é importante para identificar escalonamento de privilégios local em sistemas Windows, frequentemente a primeira etapa após a execução inicial de malware antes do movimento lateral. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1222-file-and-directory-permissions-modification|T1222 — File and Directory Permissions Modification]] - [[t1222-001-windows-file-and-directory-permissions|T1222.001 — Windows File and Directory Permissions Modification]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[t1068-exploitation-for-privilege-escalation|T1068 — Exploitation for Privilege Escalation]] --- *Fonte: [MITRE ATT&CK — AN0834](https://attack.mitre.org/detectionstrategies/DET0299#AN0834)*