det0345-detection-strategy-for-abuse-elevation-control-mechanism-t1548

# DET0345 — Detection Strategy for Abuse Elevation Control Mechanism (T1548) ## Descrição Esta estratégia detecta o abuso de mecanismos de controle de elevação de privilégio — UAC bypass em Windows, SUID/SGID abuse em Linux/macOS, sudo misconfiguration e polkit exploits — para escalar privilégios sem interação do usuário ou autenticação adicional. A técnica [[t1548-abuse-elevation-control-mechanism|T1548-abuse-elevation-control-mechanism]] é um estágio crítico em ataques pós-comprometimento que permite ao adversário obter direitos de administrador/root. A detecção cobre múltiplos vetores: em Windows, processos de baixo privilégio spawning high-integrity processes via COM elevation, token manipulation ou DLL hijacking em auto-elevated binaries; em Linux/macOS, execução de binários SUID por usuários não-root com argumentos anômalos, e sudo invocations fora do padrão. Técnicas de UAC bypass como fodhelper, eventvwr e sdclt abusam de auto-elevated COM objects e são documentadas em dezenas de campanhas de malware. O monitoramento de processos com integrity level elevado cujos pais têm integrity level menor é o sinal central em Windows. ## Indicadores de Detecção - Processo filho com integrity level "High" cujo pai tem integrity level "Medium" sem prompt UAC - Modificação de chaves de registro em `HKCU\Software\Classes\` seguida de execução de auto-elevated binary - Execução de binários SUID (findstr -m 4000) por usuários sem contexto administrativo legítimo - `sudo` invocado para comandos fora do perfil normal do usuário (ex: sudo bash, sudo python) - `pkexec` com argumentos de execução de shell ou escalação de privilégio - Token impersonation (SeImpersonatePrivilege abuse) em contextos de serviço IIS/SQL ## Técnicas Relacionadas - [[t1548-abuse-elevation-control-mechanism|T1548-abuse-elevation-control-mechanism]] — técnica primária - [[T1548.002-bypass-user-account-control]] — bypass de UAC em Windows - [[T1548.001-setuid-setgid]] — abuso de SUID/SGID em Linux/macOS - [[T1548.003-sudo-and-sudo-caching]] — abuso de sudo em sistemas Unix-like - [[t1134-access-token-manipulation|T1134-access-token-manipulation]] — manipulação de token relacionada à escalação ## Analytics Relacionadas - [[an0975-analytic-0975|AN0975 — Analytic 0975]] - [[an0976-analytic-0976|AN0976 — Analytic 0976]] - [[an0977-analytic-0977|AN0977 — Analytic 0977]] - [[an0978-analytic-0978|AN0978 — Analytic 0978]] - [[an0979-analytic-0979|AN0979 — Analytic 0979]] --- *Fonte: [MITRE ATT&CK — DET0345](https://attack.mitre.org/detectionstrategies/DET0345)*