# AN1177 — Analytic 1177 ## Descrição Detecta uma cadeia comportamental de manipulação de DACL no Windows em múltiplos estágios: criação de processos de utilitários de modificação de permissão (icacls.exe, takeown.exe, attrib.exe, cacls.exe ou cmdlets PowerShell ACL), análise de linha de comando revelando intenção de escalonamento de privilégios (/grant, /takeown, /T, Set-Acl), eventos de modificação DACL (4670) correlacionados com execução de processos, e tentativas subsequentes de acesso a arquivos (4663). A telemetria inclui eventos de segurança do Windows, logs do Sysmon e auditoria de acesso a objetos para construir a cadeia completa de eventos. A manipulação de permissões é uma técnica fundamental em ataques de escalonamento de privilégios e contorno de controles de acesso em ambientes Windows corporativos. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1222-file-and-directory-permissions-modification|T1222 — File and Directory Permissions Modification]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN1177](https://attack.mitre.org/detectionstrategies/DET0418#AN1177)*