det0514-detection-strategy-for-exploitation-for-privilege-escalation

# DET0514 — Detection Strategy for Exploitation for Privilege Escalation ## Descrição A exploração de vulnerabilidades para escalada de privilégios envolve o uso de exploits contra falhas no kernel do sistema operacional, drivers, serviços do sistema ou aplicações privilegiadas para elevar o contexto de execução de um processo de usuário para SYSTEM, root ou equivalente. Em Windows, vulnerabilidades no kernel como EternalBlue ([[cve-2017-0144|CVE-2017-0144]]), PrintNightmare ([[cve-2021-34527|CVE-2021-34527]]) e outras CVEs críticas do Windows são alvos frequentes. Em Linux, vulnerabilidades de kernel como DirtyPipe ([[cve-2022-0847|CVE-2022-0847]]) e DirtyCOW permitem escalada similar. A técnica é mapeada como [[t1068-exploitation-for-privilege-escalation|T1068]] no MITRE ATT&CK. A detecção de exploração de privilégios requer correlação entre anomalias de comportamento de processos e padrões conhecidos de exploits: crashes de processos do sistema (indicativo de exploit tentado e falhado), criação de processos de alta integridade a partir de processos de baixa integridade sem fluxo de autenticação, e modificações em estruturas de kernel detectadas por drivers de segurança. Ferramentas de pós-exploração como [[metasploit|Metasploit]] e [[s0154-cobalt-strike|Cobalt Strike]] incluem módulos de escalada de privilégios automáticos que exploram CVEs de kernel. A abordagem de detecção combina análise comportamental (padrão de acesso a chamadas de sistema privilegiadas, tentativas de acesso negadas) com detecção baseada em assinaturas de exploits conhecidos (hashes de shellcode, padrões de spray de heap) e análise de anomalias pós-escalada (processo de baixa integridade gerando filho de alta integridade). ## Indicadores de Detecção - Processo de usuário executando chamadas de sistema do kernel incomuns associadas a exploits conhecidos (spray de heap, ROP chain) - Crash de processo do sistema (WER Error Report) seguido de nova tentativa de execução do mesmo vetor de ataque - Processo de integridade baixa/média gerando filho com nível de integridade SYSTEM sem fluxo de autenticação - Carregamento de driver vulnerável conhecido (BYOVD) por processo de usuário para exploração de kernel - Modificação de estruturas protegidas do kernel detectada por PatchGuard ou HVCI violation - Execução de código na kernel pool (non-paged pool) originada de chamada de sistema de processo de usuário - Uso de `WriteFile` ou `DeviceIoControl` para vetor de escalada via driver vulnerável instalado no sistema ## Técnicas Relacionadas - [[t1068-exploitation-for-privilege-escalation|T1068 — Exploitation for Privilege Escalation]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1134-access-token-manipulation|T1134 — Access Token Manipulation]] - [[t1203-exploitation-for-client-execution|T1203 — Exploitation for Client Execution]] ## Analytics Relacionadas - [[an1419-analytic-1419|AN1419 — Analytic 1419]] - [[an1420-analytic-1420|AN1420 — Analytic 1420]] - [[an1421-analytic-1421|AN1421 — Analytic 1421]] - [[an1422-analytic-1422|AN1422 — Analytic 1422]] --- *Fonte: [MITRE ATT&CK — DET0514](https://attack.mitre.org/detectionstrategies/DET0514)*