# M1022 — Restrict File and Directory Permissions ## Descrição A restrição de permissões de arquivos e diretórios envolve a configuração de controles de acesso no nível do sistema de arquivos para limitar quais usuários, grupos ou processos podem ler, gravar ou executar arquivos. Ao configurar permissões adequadamente, as organizações podem reduzir a superfície de ataque para adversários que buscam acessar dados sensíveis, implantar código malicioso ou adulterar arquivos de sistema. Aplicar Permissões de Menor Privilégio: - Remover permissões de escrita desnecessárias em arquivos e diretórios sensíveis. - Usar propriedade de arquivo e grupos para controlar acesso por funções específicas. Exemplo (Windows): Clique direito na pasta compartilhada → Propriedades → aba Segurança → Ajustar permissões para NTFS ACLs. Endurecer Compartilhamentos de Arquivos: - Desabilitar acesso anônimo a pastas compartilhadas. - Aplicar permissões NTFS para pastas compartilhadas no Windows. Exemplo: Definir permissões para restringir acesso de escrita a arquivos críticos, como executáveis do sistema (ex: `/bin` ou `/sbin` no Linux). Usar ferramentas como `chown` e `chmod` para atribuir propriedade de arquivo e limitar acesso. No Linux, aplicar: `chmod 750 /etc/sensitive.conf` `chown root:admin /etc/sensitive.conf` Monitoramento de Integridade de Arquivos (FIM): - Usar ferramentas como Tripwire, Wazuh ou OSSEC para monitorar alterações em permissões de arquivos críticos. Auditar Acesso ao Sistema de Arquivos: - Habilitar auditoria para rastrear mudanças de permissões ou tentativas de acesso não autorizado. - Usar auditd (Linux) ou Event Viewer (Windows) para registrar atividades. Restringir Diretórios de Inicialização: - Configurar permissões para prevenir escritas não autorizadas em diretórios como `C:\ProgramData\Microsoft\Windows\Start Menu`. Exemplo: Restringir acesso de escrita a diretórios críticos como `/etc/`, `/usr/local/` e diretórios Windows como `C:\Windows\System32`. - No Windows, usar icacls para modificar permissões: `icacls "C:\Windows\System32" /inheritance:r /grant:r SYSTEM:(OI)(CI)F` - No Linux, monitorar permissões usando ferramentas como `lsattr` ou `auditd`. ## Fluxo de Implementação ```mermaid graph TB A["Mapear Ativos Sensíveis<br/>Arquivos, diretórios, scripts"] --> B["Aplicar Least Privilege<br/>chmod/icacls com ACLs mínimas"] B --> C["Endurecer Compartilhamentos<br/>Desabilitar acesso anônimo"] C --> D["Monitorar Integridade<br/>FIM com Tripwire ou Wazuh"] D --> E["Auditar Mudanças<br/>auditd (Linux) / Event Viewer"] ``` ## Contexto LATAM > [!globe] Relevância Regional > A restrição de permissões de arquivos e diretórios é fundamental no contexto LATAM, onde ataques de ransomware frequentemente abusam de permissões excessivas em compartilhamentos de rede para propagação lateral e criptografia em massa. Além disso, webshells ([[t1505-003-web-shell|T1505.003]]) são frequentemente instalados em diretórios web sem restrição de escrita adequada em servidores hospedados no Brasil. > - Adoção em SOCs brasileiros: médio (permissões são configuradas, mas auditoria contínua é rara) > - Regulamentações relevantes: LGPD (Art. 46 — medidas técnicas de proteção de dados), BACEN 4893 (integridade de sistemas financeiros), PCI-DSS 7 (restrição de acesso a dados de cartão) > - Desafios regionais: ambientes Windows com herança de Everyone:Full Control em compartilhamentos legados, falta de FIM em servidores de aplicação, custo de ferramentas de auditoria contínua ## Técnicas Mitigadas | ID | Técnica | |---|---------| | T1036.005 | [[t1036-005-match-legitimate-resource-name-or-location\|T1036.005 — Match Legitimaté Resource Name or Location]] | | T1565.001 | [[t1565-001-stored-data-manipulation\|T1565.001 — Stored Data Manipulation]] | | T1037.004 | [[t1037-004-rc-scripts\|T1037.004 — RC Scripts]] | | T1222.002 | [[t1222-002-linux-and-mac-file-and-directory-permissions-modification\|T1222.002 — Linux and Mac File and Directory Permissions Modification]] | | T1562.002 | [[t1562-002-disable-windows-event-logging\|T1562.002 — Disable Windows Event Logging]] | | T1037.005 | [[t1037-005-startup-items\|T1037.005 — Startup Items]] | | T1053.006 | [[t1053-006-systemd-timers\|T1053.006 — Systemd Timers]] | | T1218.002 | [[t1218-002-control-panel\|T1218.002 — Control Panel]] | | T1547.003 | [[t1547-003-time-providers\|T1547.003 — Time Providers]] | | T1070.001 | [[t1070-001-clear-windows-event-logs\|T1070.001 — Clear Windows Event Logs]] | | T1574.004 | [[t1574-004-dylib-hijacking\|T1574.004 — Dylib Hijacking]] | | T1222.001 | [[t1222-001-windows-file-and-directory-permissions-modification\|T1222.001 — Windows File and Directory Permissions Modification]] | | T1037.003 | [[t1037-003-network-logon-script\|T1037.003 — Network Logon Script]] | | T1098.004 | [[t1098-004-ssh-authorized-keys\|T1098.004 — SSH Authorized Keys]] | | T1565.003 | [[t1565-003-runtime-data-manipulation\|T1565.003 — Runtime Data Manipulation]] | | T1552.004 | [[t1552-004-private-keys\|T1552.004 — Private Keys]] | | T1055.009 | [[t1055-009-proc-memory\|T1055.009 — Proc Memory]] | | T1574.007 | [[t1574-007-path-interception-by-path-environment-variable\|T1574.007 — Path Interception by PATH Environment Variable]] | | T1562.006 | [[t1562-006-indicator-blocking\|T1562.006 — Indicator Blocking]] | | T1547.013 | [[t1547-013-xdg-autostart-entries\|T1547.013 — XDG Autostart Entries]] | | T1564.004 | [[t1564-004-ntfs-file-attributes\|T1564.004 — NTFS File Attributes]] | | T1543.001 | [[t1543-001-launch-agent\|T1543.001 — Launch Agent]] | | T1574.008 | [[t1574-008-path-interception-by-search-order-hijacking\|T1574.008 — Path Interception by Search Order Hijacking]] | | T1546.013 | [[t1546-013-powershell-profile\|T1546.013 — PowerShell Profile]] | | T1070 | [[t1070-indicator-removal\|T1070 — Indicator Removal]] | | T1098 | [[t1098-account-manipulation\|T1098 — Account Manipulation]] | | T1574 | [[t1574-hijack-execution-flow\|T1574 — Hijack Execution Flow]] | | T1036 | [[t1036-masquerading\|T1036 — Masquerading]] | | T1547.009 | [[t1547-009-shortcut-modification\|T1547.009 — Shortcut Modification]] | | T1222 | [[t1222-file-and-directory-permissions-modification\|T1222 — File and Directory Permissions Modification]] | | T1053 | [[t1053-scheduled-taskjob\|T1053 — Scheduled Task/Job]] | | T1563.001 | [[t1563-001-ssh-hijacking\|T1563.001 — SSH Hijacking]] | | T1070.008 | [[t1070-008-clear-mailbox-data\|T1070.008 — Clear Mailbox Data]] | | T1548.003 | [[t1548-003-sudo-and-sudo-caching\|T1548.003 — Sudo and Sudo Caching]] | | T1070.009 | [[t1070-009-clear-persistence\|T1070.009 — Clear Persistence]] | | T1070.002 | [[t1070-002-clear-linux-or-mac-system-logs\|T1070.002 — Clear Linux or Mac System Logs]] | | T1552 | [[t1552-unsecured-credentials\|T1552 — Unsecured Credentials]] | | T1543.002 | [[t1543-002-systemd-service\|T1543.002 — Systemd Service]] | | T1070.003 | [[t1070-003-clear-command-history\|T1070.003 — Clear Command History]] | | T1543 | [[t1543-create-or-modify-system-process\|T1543 — Create or Modify System Process]] | | T1037.002 | [[t1037-002-login-hook\|T1037.002 — Login Hook]] | | T1556 | [[t1556-modify-authentication-process\|T1556 — Modify Authentication Process]] | | T1548 | [[t1548-abuse-elevation-control-mechanism\|T1548 — Abuse Elevation Control Mechanism]] | | T1562 | [[t1562-impair-defenses\|T1562 — Impair Defenses]] | | T1546.004 | [[t1546-004-unix-shell-configuration-modification\|T1546.004 — Unix Shell Configuration Modification]] | | T1530 | [[t1530-data-from-cloud-storage\|T1530 — Data from Cloud Storage]] | | T1574.014 | [[t1574-014-appdomainmanager\|T1574.014 — AppDomainManager]] | | T1574.009 | [[t1574-009-path-interception-by-unquoted-path\|T1574.009 — Path Interception by Unquoted Path]] | | T1565 | [[t1565-data-manipulation\|T1565 — Data Manipulation]] | | T1569 | [[t1569-system-services\|T1569 — System Services]] | | T1569.002 | [[t1569-002-service-execution\|T1569.002 — Service Execution]] | | T1037 | [[t1037-boot-or-logon-initialization-scripts\|T1037 — Boot or Logon Initialization Scripts]] | | T1489 | [[t1489-service-stop\|T1489 — Service Stop]] | | T1562.004 | [[t1562-004-disable-or-modify-system-firewall\|T1562.004 — Disable or Modify System Firewall]] | | T1048 | [[t1048-exfiltration-over-alternative-protocol\|T1048 — Exfiltration Over Alternative Protocol]] | | T1036.003 | [[t1036-003-rename-legitimate-utilities\|T1036.003 — Rename Legitimaté Utilities]] | | T1080 | [[t1080-taint-shared-content\|T1080 — Taint Shared Content]] | | T1553.003 | [[t1553-003-sip-and-trust-provider-hijacking\|T1553.003 — SIP and Trust Provider Hijacking]] | | T1562.001 | [[t1562-001-disable-or-modify-tools\|T1562.001 — Disable or Modify Tools]] | | T1552.001 | [[t1552-001-credentials-in-files\|T1552.001 — Credentials In Files]] | | T1548.006 | [[t1548-006-tcc-manipulation\|T1548.006 — TCC Manipulation]] | --- *Fonte: [MITRE ATT&CK — M1022](https://attack.mitre.org/mitigations/M1022)*