det0388-detection-strategy-for-t1548002-bypass-user-account-control-uac

# DET0388 — Detection Strategy for T1548.002 – Bypass User Account Control (UAC) ## Descrição O User Account Control (UAC) é um mecanismo de segurança do Windows que restringe processos à execução com privilégios de usuário padrão, exigindo confirmação explícita para operações administrativas. Adversários com acesso a contas de usuário membro do grupo de Administradores (mas sem elevação ativa) empregam dezenas de técnicas documentadas de bypass de UAC para escalar para privilégio `High Integrity Level` sem exibir o prompt UAC ao usuário. Técnicas incluem: abuso de binários auto-elevados (`eventvwr.exe`, `fodhelper.exe`), DLL hijacking de binários com `AutoElevaté=true`, e manipulação de registro para interceptar chamadas COM de binários elevados. Cada versão do Windows tem combinações específicas de bypasses funcionais. No Windows 10/11, técnicas como `fodhelper.exe` com modificação de `HKCU\Software\Classes\ms-settings\shell\open\command`, e `computerdefaults.exe` com manipulação de COM Elevation Moniker permanecem funcionais em configurações padrão de UAC. Famílias de malware como [[s0266-trickbot|TrickBot]], [[s0367-emotet|Emotet]], [[lockbit|LockBit]] e práticamente todo ransomware moderno implementam bypass de UAC como etapa obrigatória para acesso ao sistema de arquivos completo e desativação de proteções. A estratégia de detecção identifica a sequência característica de bypass: modificação de registro no path `HKCU\Software\Classes\*` seguida de execução de binário auto-elevado, ou criação de objeto COM com CLSID de componente auto-elevado por processo de médio nível de integridade. ## Indicadores de Detecção - Escrita em `HKCU\Software\Classes\ms-settings\shell\open\command` ou paths COM similares - Execução de `fodhelper.exe`, `eventvwr.exe`, `computerdefaults.exe` por processo de usuário comum - Processo de `Medium Integrity Level` criando processo filho com `High Integrity Level` (sem prompt UAC) - Modificação de `HKCU\Environment\windir` ou `HKCU\Environment\SystemRoot` (bypass clássico) - `DllHost.exe` criado por processo de baixo privilégio com CLSID de componente COM elevado - Event ID 4688 com nível de integridade elevado para processo sem correspondência de solicitação UAC (4703) ## Técnicas Relacionadas - [[T1548002-bypass-user-account-control|T1548.002 — Bypass User Account Control]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[T1574002-dll-side-loading|T1574.002 — DLL Side-Loading]] - [[t1134-access-token-manipulation|T1134 — Access Token Manipulation]] ## Analytics Relacionadas - [[an1094-analytic-1094|AN1094 — Analytic 1094]] --- *Fonte: [MITRE ATT&CK — DET0388](https://attack.mitre.org/detectionstrategies/DET0388)*