det0064-detection-strategy-for-hijack-execution-flow-through-path-interception-b

# DET0064 — Detection Strategy for Hijack Execution Flow through Path Interception by Unquoted Path ## Descrição O ataque de Path Interception via Unquoted Path explora um comportamento do Windows na resolução de caminhos de executáveis que contêm espaços e não estão entre aspas. Quando um serviço ou agendador de tarefas é configurado com um caminho como `C:\Program Files\My App\service.exe` sem aspas, o Windows tenta sequencialmente `C:\Program.exe`, `C:\Program Files\My.exe` e assim por diante — permitindo que um atacante plante um executável malicioso em um diretório com permissão de escrita para ganhar execução com os privilégios do serviço. Esta estratégia de detecção foca em identificar serviços do Windows configurados com caminhos não-quoted via análise de SCM (Service Control Manager), correlacionando-os com tentativas de criação de arquivos em posições intermediárias do path. A detecção deve monitorar eventos de criação de arquivo em diretórios como `C:\Program Files\` por usuários não administrativos, especialmente quando o nome do arquivo corresponde a um fragmento de path de serviço existente. A vulnerabilidade é frequentemente explorada em fases de escalonamento de privilégios, pois muitos serviços rodam como SYSTEM ou com contas de serviço privilegiadas. Ferramentas de post-exploitation como [[s0154-cobalt-strike]] e scripts PowerShell automatizados incluem módulos específicos para identificar e explorar paths não-quoted em ambientes Windows corporativos. ## Indicadores de Detecção - Serviço registrado com `ImagePath` contendo espaços sem aspas duplas (visível via `sc qc` ou `Get-WmiObject Win32_Service`) - Criação de executável em diretório intermediário de path de serviço existente (ex: `C:\Program.exe`) - Processo iniciado pelo SCM a partir de caminho inesperado — diferente do registrado - Evento 7045 (novo serviço instalado) com ImagePath não-quoted - Modificação de permissões em diretórios intermediários para permitir escrita por usuários não privilegiados ## Técnicas Relacionadas - [[t1574009-hijack-execution-flow-path-interception-by-unquoted-path|T1574.009 — Path Interception by Unquoted Path]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1543003-create-or-modify-system-process-windows-service|T1543.003 — Windows Service]] - [[t1548002-abuse-elevation-control-mechanism-bypass-user-account-control|T1548.002 — Bypass UAC]] - [[t1036-masquerading|T1036 — Masquerading]] ## Analytics Relacionadas - [[an0176-analytic-0176|AN0176 — Analytic 0176]] --- *Fonte: [MITRE ATT&CK — DET0064](https://attack.mitre.org/detectionstrategies/DET0064)*