det0436-detection-strategy-for-hijack-execution-flow-through-services-file-permi

# DET0436 — Detection Strategy for Hijack Execution Flow through Services File Permissions Weakness ## Descrição Quando arquivos executáveis de serviços Windows têm permissões de sistema de arquivos excessivamente permissivas — permitindo que usuários sem privilégios escrevam ou substituam o binário — um adversário pode substituir o executável legítimo por um payload malicioso. Na próxima inicialização do serviço, o malware é executado com os privilégios configurados para o serviço (frequentemente SYSTEM ou uma conta de serviço privilegiada). Essa técnica difere do Service Registry Permissions Weakness (DET0427) por operar no sistema de arquivos em vez do registro: enquanto aquela modifica a chave de registro para apontar para um novo executável, esta substitui fisicamente o binário existente. Ambas resultam em execução de código malicioso com privilégios de serviço, mas os artefatos de detecção são distintos. A enumeração com ferramentas como `accesschk.exe -uwcqv "Everyone" *` ou `icacls` revela os caminhos vulneráveis. A detecção combina monitoramento de integridade de arquivos (FIM) nos diretórios de instalação de serviços com auditoria de eventos de modificação de arquivo. Event ID 4663 (acesso a objeto — arquivo) com operação de escrita em executáveis de serviços, por contas de usuário padrão, é o indicador primário. Soluções de FIM como Tripwire, OSSEC ou o próprio Windows FIM do Defender for Endpoint são essenciais para essa detecção. ## Indicadores de Detecção - Modificação de arquivos executáveis em diretórios de serviços (`C:\Program Files\*\*.exe`) por conta de usuário padrão - Event ID 4663 — acesso de escrita a binário de serviço por conta sem privilégios de administrador - Hash de binário de serviço alterado em relação ao baseline de integridade (alertas de FIM) - `icacls` ou `Get-Acl` retornando permissões de escrita para grupos amplos em executáveis de serviços - Serviço iniciando após substituição de binário com comportamento diferente do habitual (análise de rede/processo) ## Técnicas Relacionadas - [[T1574010-services-file-permissions-weakness|T1574.010 — Services File Permissions Weakness]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[T1543003-windows-service|T1543.003 — Windows Service]] - [[t1222-file-and-directory-permissions-modification|T1222 — File and Directory Permissions Modification]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] ## Analytics Relacionadas - [[an1211-analytic-1211|AN1211 — Analytic 1211]] --- *Fonte: [MITRE ATT&CK — DET0436](https://attack.mitre.org/detectionstrategies/DET0436)*