m1025-privileged-process-integrity

# M1025 — Privileged Process Integrity ## Descrição Privileged Process Integrity focuses on defending highly privileged processes (e.g., system services, antivirus, or authentication processes) from tampering, injection, or compromise by adversaries. These processes often interact with critical components, making them prime targets for techniques like code injection, privilege escalation, and process manipulation. This mitigation can be implemented through the following measures: ### Mecanismos de Processo Protegido (PPL) - Habilitar **RunAsPPL** no Windows para proteger LSASS e outros processos críticos. - Usar modificações de registro para aplicar configurações de processo protegido: `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RunAsPPL` ### Proteção Anti-Injeção e de Memória - Habilitar **Control Flow Guard (CFG)**, **DEP** e **ASLR** para proteger contra adulteração de memória de processo. - Implantar ferramentas de proteção de endpoint que bloqueiem ativamente tentativas de injeção de processo. ### Validação de Assinatura de Código - Implementar políticas do **Windows Defender Application Control (WDAC)** ou AppLocker para aplicar execução de binários assinados. - Garantir que processos críticos sejam assinados com certificados válidos. ### Controles de Acesso - Usar DACLs e MIC para limitar quais usuários e processos podem interagir com processos privilegiados. - Desabilitar capacidades de depuração desnecessárias para processos de alta privilege. ### Proteções em Nível de Kernel - Garantir que o **Kernel Patch Protection (PatchGuard)** esteja habilitado em sistemas Windows. - Usar **SELinux** ou **AppArmor** no Linux para aplicar políticas de segurança em nível de kernel. **Ferramentas para Implementação:** - **Protected Process Light (PPL):** RunAsPPL, Windows Defender Credential Guard - **Integridade e Assinatura de Código:** WDAC, AppLocker, SELinux/AppArmor - **Proteção de Memória:** CFG, DEP, ASLR - **Isolamento de Processo:** Firejail (Linux), Windows Sandbox, QEMU/KVM - **Proteção de Kernel:** PatchGuard (Windows), SELinux, AppArmor ## Fluxo de Implementação ```mermaid graph TB A["Habilitar RunAsPPL Proteger LSASS no Windows"] --> B["Ativar Credential Guard Isolar segredos em hardware"] B --> C["Enforcar Code Signing WDAC / AppLocker"] C --> D["Proteger Memoria CFG, DEP, ASLR"] D --> E["Monitorar Integridade EDR + alertas de injecao"] ``` ## Técnicas Mitigadas | ID | Técnica | |---|---------| | T1547.008 | [[t1547-008-lsass-driver\|T1547.008 — LSASS Driver]] | | T1547.005 | [[t1547-005-security-support-provider\|T1547.005 — Security Support Provider]] | | T1547.002 | [[t1547-002-authentication-package\|T1547.002 — Authentication Package]] | | T1556.001 | [[t1556-001-domain-controller-authentication\|T1556.001 — Domain Controller Authentication]] | | T1003.001 | [[t1003-001-lsass-memory\|T1003.001 — LSASS Memory]] | | T1003 | [[t1003-os-credential-dumping\|T1003 — OS Credential Dumping]] | | T1556 | [[t1556-modify-authentication-process\|T1556 — Modify Authentication Process]] | --- *Fonte: [MITRE ATT&CK — M1025](https://attack.mitre.org/mitigations/M1025)*