det0299-multi-platform-file-and-directory-permissions-modification-detection-str

# DET0299 — Multi-Platform File and Directory Permissions Modification Detection Strategy ## Descrição Esta estratégia detecta modificações não autorizadas em permissões de arquivos e diretórios em Windows, Linux e macOS, uma técnica usada por adversários para garantir acesso persistente a recursos, ocultar arquivos maliciosos de usuários comuns, ou remover controles de acesso que limitam suas operações. A modificação de permissões é frequentemente uma etapa preparatória para instalação de backdoors ou proteção de ferramentas de ataque. No Windows, os indicadores incluem modificações em DACLs (Discretionary Access Control Lists) de arquivos em `System32`, `Program Files` ou diretórios de aplicações críticas usando `icacls`, `cacls` ou APIs SDDL. No Linux/macOS, uso de `chmod 777` em binários do sistema, `chown` alterando owner de arquivos para o usuário comprometido, ou remoção de ACLs restritivas com `setfacl -b`. Modificações em `/etc/sudoers` ou `/etc/passwd` são indicadores críticos de escalação de privilégio. A detecção requer baseline das permissões críticas e monitoramento contínuo via auditd (Linux), Security event log (Windows ID 4670 — permissões de objeto alteradas) ou File Integrity Monitoring (FIM). Adversários que comprometem sistemas Linux frequentemente modificam permissões de `/tmp` ou `/dev/shm` para permitir execução de payloads nessas localizações. ## Indicadores de Detecção - `icacls` ou `cacls` concedendo acesso `Everyone:F` a arquivo em `System32` ou `Program Files` - `chmod +x` ou `chmod 777` em arquivo recém-criado em `/tmp/`, `/dev/shm/` ou path de usuário - `chown root` executado por processo não-root em binário de sistema (escalonamento de privilégio) - Modificação de DACL de chave de registro de serviço crítico para remover auditoria - `setfacl` removendo todas ACLs de diretório de log (`/var/log/`) - Alteração de permissões de `/etc/sudoers`, `/etc/crontab` ou `/etc/passwd` por processo não-privilegiado ## Técnicas Relacionadas - [[t1222-file-and-directory-permissions-modification|T1222 — File and Directory Permissions Modification]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] ## Analytics Relacionadas - [[an0834-analytic-0834|AN0834 — Analytic 0834]] - [[an0835-analytic-0835|AN0835 — Analytic 0835]] - [[an0836-analytic-0836|AN0836 — Analytic 0836]] - [[an0837-analytic-0837|AN0837 — Analytic 0837]] --- *Fonte: [MITRE ATT&CK — DET0299](https://attack.mitre.org/detectionstrategies/DET0299)*