det0395-macos-authorizationexecutewithprivileges-elevation-prompt-detection

# DET0395 — macOS AuthorizationExecuteWithPrivileges Elevation Prompt Detection ## Descrição A função `AuthorizationExecuteWithPrivileges` da API de Security framework do macOS permite que aplicações solicitem elevação de privilégio ao usuário, exibindo o prompt característico de autenticação do macOS para executar um helper tool com privilégios de root. Adversários abusam dessa função para elevar privilégios em macOS, frequentemente distribuída via aplicações aparentemente legítimas (software pirateado, instaladores trojanizados, atualizações falsas). Quando o usuário aprova o prompt, o adversário obtém execução de código como root sem precisar explorar vulnerabilidades de kernel. O abuso é particularmente eficaz porque: o prompt parece legítimo e idêntico a requisições de elevação normais do sistema, usuários de macOS estão acostumados a aprovar prompts de instalação, e aplicações distribuídas via canais alternativos (fora da App Store) frequentemente solicitam privilégios de instalação. Famílias de malware macOS como [[s0658-xcsset|XCSSET]], [[Shlayer]] e adware persistente frequentemente utilizam essa técnica. A Apple deprecou a função no macOS 11, mas ela permanece funcional em versões anteriores e em aplicações não-atualizadas. A detecção monitora chamadas à função `AuthorizationExecuteWithPrivileges`, correlaciona o processo solicitante com sua reputação e origem de download, e identifica padrões de abuso como solicitação de elevação logo após download de internet ou abertura de arquivo de fontes externas. ## Indicadores de Detecção - Chamada a `AuthorizationExecuteWithPrivileges` por aplicação não assinada ou com assinatura revogada - Processo solicitando elevação que foi criado há menos de 60 segundos e está em `/tmp` ou `Downloads` - Helper tool executado via `AuthorizationExecuteWithPrivileges` realizando modificações persistentes (cron, launch daemon) - Aplicação com quarantine bit ativo (origem de internet) solicitando elevação imediatamente após execução - Combinação: download de DMG/PKG + montagem + execução + prompt de elevação em sequência rápida - Processo elevado criando arquivos em `/Library/LaunchDaemons/` ou modificando `sudoers` ## Técnicas Relacionadas - [[T1548004-elevated-execution-with-prompt|T1548.004 — Elevated Execution with Prompt]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[T1204002-malicious-file|T1204.002 — Malicious File]] - [[T1547015-login-items|T1547.015 — Login Items]] - [[T1543001-launch-agent|T1543.001 — Launch Agent]] ## Analytics Relacionadas - [[an1111-analytic-1111|AN1111 — Analytic 1111]] --- *Fonte: [MITRE ATT&CK — DET0395](https://attack.mitre.org/detectionstrategies/DET0395)*