det0418-windows-dacl-manipulation-behavioral-chain-detection-strategy

# DET0418 — Windows DACL Manipulation Behavioral Chain Detection Strategy ## Descrição As DACLs (Discretionary Access Control Lists) no Windows controlam quais usuários e grupos têm permissão de acesso a objetos como arquivos, diretórios, chaves de registro e serviços. Adversários manipulam DACLs para conceder a si mesmos ou a contas de backdoor permissões elevadas em recursos protegidos — como diretórios de sistema, chaves de registro críticas ou o próprio processo `lsass.exe` — contornando controles de acesso sem necessidade de exploração direta. A técnica é frequentemente utilizada em cadeias de escalada de privilégios: um atacante com acesso limitado modifica a DACL de um serviço vulnerável para substituir seu executável, ou altera a DACL de uma chave de registro de autostart para injetar persistência. Ferramentas como `icacls`, `cacls`, `SetACL`, e a API `SetSecurityInfo` do Windows são utilizadas para essas operações. O uso do PowerShell `Set-Acl` também é documentado. A detecção baseada em cadeia comportamental é mais eficaz que alertas isolados: modificação de DACL seguida de acesso ao objeto modificado por uma conta diferente, em curto intervalo, representa a cadeia completa do ataque. Event ID 4670 (permissões em objeto alteradas) no Security Event Log, combinado com Sysmon Event ID 13 (registry value set) para chaves de segurança, são as fontes primárias de detecção. ## Indicadores de Detecção - Event ID 4670 registrando mudanças de DACL em arquivos do sistema ou executáveis de serviços - Execução de `icacls` ou `cacls` com parâmetros de concessão de permissão por processo não administrativo - Modificação de permissões em chaves de registro em `HKLM\SYSTEM\CurrentControlSet\Services\` - Cadeia: modificação DACL → acesso ao objeto por conta diferente em < 60 segundos - `Set-Acl` via PowerShell em caminhos fora do diretório home do usuário ## Técnicas Relacionadas - [[t1222-file-and-directory-permissions-modification|T1222 — File and Directory Permissions Modification]] - [[T1222001-windows-file-and-directory-permissions-modification|T1222.001 — Windows File and Directory Permissions Modification]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[t1112-modify-registry|T1112 — Modify Registry]] ## Analytics Relacionadas - [[an1177-analytic-1177|AN1177 — Analytic 1177]] --- *Fonte: [MITRE ATT&CK — DET0418](https://attack.mitre.org/detectionstrategies/DET0418)*