# DET0038 — Detection Strategy for Hijack Execution Flow using Executable Installer File Permissions Weakness ## Descrição Esta estratégia detecta o abuso de permissões inadequadas em instaladores executáveis ou nas pastas onde residem, permitindo que um adversário com acesso de usuário padrão substitua ou modifique binários que serão executados com privilégios elevados (SYSTEM ou administrador). Quando um serviço ou tarefa agendada referência um executável em um caminho onde o usuário tem permissão de escrita, o atacante pode substituí-lo por código malicioso e aguardar a próxima execução privilegiada. A detecção foca em dois vetores: (1) escrita em diretórios onde binários de serviços ou instaladores residem sem permissão adequada de ACL — detectável via monitoramento de `SetFileSecurity`, `WriteFile` em caminhos de serviços; e (2) análise estática periódica de ACLs de caminhos de serviços críticos contra um baseline de permissões corretas. Ferramentas como `icacls`, `Get-Acl` (PowerShell) ou scripts de auditoria de permissões são usadas tanto por defensores quanto por atacantes na fase de reconhecimento. O comando `accesschk.exe -uwdqs "Users" C:\` (Sysinternals) ou `Get-WmiObject Win32_Service | select PathName` seguido de análise de ACLs é a heurística de reconhecimento que adversários usam para localizar alvos. A detecção dessas ferramentas em contexto de usuário não-administrador, especialmente em servidores, é indicador de escalada de privilégio em preparação. ## Indicadores de Detecção - Modificação de arquivo executável (`.exe`, `.dll`) no diretório de instalação de um serviço Windows por usuário não-administrador - Permissão de escrita para grupo `Users` ou `Everyone` em pasta contendo binários de serviço (detectado por auditoria de ACL) - Execução de `accesschk.exe` com flags `-uwdqs` ou `-ucqv` por processo de usuário padrão - Substituição de binário de serviço seguida de restart do serviço por conta com baixo privilégio - `icacls <path>` revelando `(W)` ou `(F)` para grupo não-privilegiado em diretório de serviço - Novo arquivo `.exe` criado em caminho de serviço existente com mesmo nome do binário original - Serviço iniciando binário com hash diferente do baseline registrado ## Técnicas Relacionadas - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1222-file-and-directory-permissions-modification|T1222 — File and Directory Permissions Modification]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] ## Analytics Relacionadas - [[an0108-analytic-0108|AN0108 — Analytic 0108]] --- *Fonte: [MITRE ATT&CK — DET0038](https://attack.mitre.org/detectionstrategies/DET0038)*