# TA0004 — Privilege Escalation ## Descrição A Escalada de Privilégios compreende as técnicas usadas para **obter permissões de maior nível** no sistema ou rede comprometida. O acesso inicial raramente concede privilégios administrativos; a escalada é o passo que transforma um usuário comum em administrador local, e um administrador local em administrador de domínio (SYSTEM, root, DA). Existem dois vetores principais: **exploração de vulnerabilidades** de software ([[t1068-exploitation-privilege-escalation|T1068]]) e **abuso de configurações incorretas** do sistema — permissões de arquivo inadequadas, tokens de acesso impersonatáveis, DLLs carregáveis de diretórios não-privilegiados. Grupos APT geralmente exploram vulnerabilidades de dia-zero ou recém-divulgadas para escalada rápida, enquanto grupos de ransomware preferem abuso de configurações (mais discreto e sem necessidade de exploits específicos). Em ambientes Windows Active Directory, a escalada de privilégios frequentemente culmina em ataques de [[t1003-os-credential-dumping|credential dumping]] para obter hash NTLM do Domain Admin, seguido de [[t1550-002-pass-the-hash|Pass-the-Hash]] para movimento lateral irrestrito na rede. ## Posição no Kill Chain ```mermaid graph TB R["Reconhecimento"]:::inactive --> RD["Desenvolvimento<br/>de Recursos"]:::inactive RD --> IA["Acesso Inicial"]:::inactive IA --> EX["Execução"]:::inactive EX --> PE["Persistência"]:::inactive PE --> PR["⬆️ Esc. Privilégios"]:::active PR --> DE["Evasão de Defesas"]:::inactive DE --> CA["Acesso a<br/>Credenciais"]:::inactive CA --> DI["Descoberta"]:::inactive DI --> LM["Mov. Lateral"]:::inactive LM --> CO["Coleta"]:::inactive CO --> C2["Comando e<br/>Controle"]:::inactive C2 --> EXF["Exfiltração"]:::inactive EXF --> IM["Impacto"]:::inactive classDef active fill:#e74c3c,color:#fff,stroke:#c0392b,stroke-width:3px classDef inactive fill:#2c3e50,color:#95a5a6,stroke:#1a252f ``` ## Técnicas desta Tática no Vault %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Nota", mitre-id AS "ID", title AS "Técnica", platforms AS "Plataformas" FROM "ttp/techniques" WHERE contains(mitre-tactic, "Privilege Escalation") SORT mitre-id ASC ``` %% <!-- QueryToSerialize: TABLE WITHOUT ID link(file.link, title) AS "Nota", mitre-id AS "ID", title AS "Técnica", platforms AS "Plataformas" FROM "ttp/techniques" WHERE contains(mitre-tactic, "Privilege Escalation") SORT mitre-id ASC --> <!-- SerializedQuery: TABLE WITHOUT ID link(file.link, title) AS "Nota", mitre-id AS "ID", title AS "Técnica", platforms AS "Plataformas" FROM "ttp/techniques" WHERE contains(mitre-tactic, "Privilege Escalation") SORT mitre-id ASC --> | Nota | ID | Técnica | Plataformas | | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | --------- | -------------------------------------------------------------------------- | ----------------------------------------------------------------------------------------------------------------- | | [[t1053-scheduled-task-job\|T1053 - Scheduled Task/Job]] | T1053 | T1053 - Scheduled Task/Job | <ul><li>Windows</li><li>Linux</li><li>macOS</li><li>Containers</li></ul> | | [[t1068-exploitation-for-privilege-escalation\|T1068 - Exploitation for Privilege Escalation]] | T1068 | T1068 - Exploitation for Privilege Escalation | <ul><li>Containers</li><li>Linux</li><li>macOS</li><li>Windows</li></ul> | | [[t1068-exploitation-privilege-escalation\|T1068 - Exploitation for Privilege Escalation]] | T1068 | T1068 - Exploitation for Privilege Escalation | <ul><li>Windows</li><li>Linux</li><li>macOS</li></ul> | | [[t1546-event-triggered-execution\|T1546 - Event Triggered Execution]] | T1546 | T1546 - Event Triggered Execution | <ul><li>Linux</li><li>macOS</li><li>Windows</li><li>SaaS</li><li>IaaS</li><li>Office Suite</li></ul> | | [[t1546-001-change-default-file-association\|T1546.001 - Change Default File Association]] | T1546.001 | T1546.001 - Change Default File Association | <ul><li>Windows</li></ul> | | [[t1546-002-screensaver\|T1546.002 - Screensaver]] | T1546.002 | T1546.002 - Screensaver | <ul><li>Windows</li></ul> | | [[ttp/techniques/privilege-escalation/t1546-003-windows-management-instrumentation-event-subscription.md\|T1546.003 - Windows Management Instrumentation Event Subscription]] | T1546.003 | T1546.003 - Windows Management Instrumentation Event Subscription | <ul><li>Windows</li></ul> | | [[t1546-004-unix-shell-configuration-modification\|T1546.004 - Unix Shell Configuration Modification]] | T1546.004 | T1546.004 - Unix Shell Configuration Modification | <ul><li>Linux</li><li>macOS</li></ul> | | [[t1546-005-trap\|T1546.005 - Trap]] | T1546.005 | T1546.005 - Trap | <ul><li>macOS</li><li>Linux</li></ul> | | [[t1546-006-lcloaddylib-addition\|T1546.006 - LC_LOAD_DYLIB Addition]] | T1546.006 | T1546.006 - LC_LOAD_DYLIB Addition | <ul><li>macOS</li></ul> | | [[t1546-007-netsh-helper-dll\|T1546.007 - Netsh Helper DLL]] | T1546.007 | T1546.007 - Netsh Helper DLL | <ul><li>Windows</li></ul> | | [[t1546-008-accessibility-features\|T1546.008 - Accessibility Features]] | T1546.008 | T1546.008 - Accessibility Features | <ul><li>Windows</li></ul> | | [[t1546-009-appcert-dlls\|T1546.009 - AppCert DLLs]] | T1546.009 | T1546.009 - AppCert DLLs | <ul><li>Windows</li></ul> | | [[t1546-010-appinit-dlls\|T1546.010 - AppInit DLLs]] | T1546.010 | T1546.010 - AppInit DLLs | <ul><li>Windows</li></ul> | | [[t1546-011-application-shimming\|T1546.011 - Application Shimming]] | T1546.011 | T1546.011 - Application Shimming | <ul><li>Windows</li></ul> | | [[t1546-012-image-file-execution-options-injection\|T1546.012 - Image File Execution Options Injection]] | T1546.012 | T1546.012 - Image File Execution Options Injection | <ul><li>Windows</li></ul> | | [[t1546-013-powershell-profile\|T1546.013 - PowerShell Profile]] | T1546.013 | T1546.013 - PowerShell Profile | <ul><li>Windows</li></ul> | | [[ttp/techniques/privilege-escalation/t1546-014-emond.md\|T1546.014 - Emond]] | T1546.014 | T1546.014 - Emond | <ul><li>macOS</li></ul> | | [[ttp/techniques/privilege-escalation/t1546-015-component-object-model-hijacking.md\|T1546.015 - Component Object Model Hijacking]] | T1546.015 | T1546.015 - Component Object Model Hijacking | <ul><li>Windows</li></ul> | | [[t1546-016-installer-packages\|T1546.016 - Installer Packages]] | T1546.016 | T1546.016 - Installer Packages | <ul><li>Linux</li><li>Windows</li><li>macOS</li></ul> | | [[t1548-abuse-elevation-control-mechanism\|T1548 - Abuse Elevation Control Mechanism]] | T1548 | T1548 - Abuse Elevation Control Mechanism | <ul><li>Linux</li><li>macOS</li><li>Windows</li><li>IaaS</li><li>Office Suite</li><li>Identity Provider</li></ul> | | [[t1548-001-setuid-and-setgid\|T1548.001 - Setuid and Setgid]] | T1548.001 | T1548.001 - Setuid and Setgid | <ul><li>Linux</li><li>macOS</li></ul> | | [[t1548-002-bypass-uac\|T1548.002 - Abuse Elevation Control Mechanism: Bypass User Account Control]] | T1548.002 | T1548.002 - Abuse Elevation Control Mechanism: Bypass User Account Control | <ul><li>Windows</li></ul> | | [[t1548-002-bypass-user-account-control\|T1548.002 - Bypass User Account Control]] | T1548.002 | T1548.002 - Bypass User Account Control | <ul><li>Windows</li></ul> | | [[t1548-003-sudo-and-sudo-caching\|T1548.003 - Sudo and Sudo Caching]] | T1548.003 | T1548.003 - Sudo and Sudo Caching | <ul><li>Linux</li><li>macOS</li></ul> | | [[t1548-004-elevated-execution-with-prompt\|T1548.004 - Elevated Execution with Prompt]] | T1548.004 | T1548.004 - Elevated Execution with Prompt | <ul><li>macOS</li></ul> | | [[t1548-005-temporary-elevated-cloud-access\|T1548.005 - Temporary Elevated Cloud Access]] | T1548.005 | T1548.005 - Temporary Elevated Cloud Access | <ul><li>IaaS</li><li>Office Suite</li><li>Identity Provider</li></ul> | | [[t1611-escape-to-host\|T1611 - Escape to Host]] | T1611 | T1611 - Escape to Host | <ul><li>Windows</li><li>Linux</li><li>Containers</li><li>ESXi</li></ul> | <!-- SerializedQuery END --> ## Mindmap — Técnicas de Escalada de Privilégios ```mermaid mindmap root((TA0004<br/>Privilege Escalation)) Exploração de Vulnerabilidades T1068 Exploitation for PrivEsc Kernel Exploits Service Exploits CVEs de Escalada Local Mecanismos de Controle T1548 Abuse Elevation Control T1548.002 Bypass UAC T1548.004 Elevated Execution with Prompt Process Injection T1055 Process Injection Token Impersonation T1134 Access Token Manipulation Configurações Incorretas T1574 Hijack Execution Flow DLL Search Order Hijacking Permissões de Serviços Unquoted Service Paths Agendamento T1053 Scheduled Task/Job Credenciais T1078 Valid Accounts Reutilização de Credenciais Admin ``` ## Atores que Utilizam esta Tática | Ator | Técnica de Escalada Preferida | |------|-------------------------------| | [[g0096-apt41\|APT41]] | Exploração de vulnerabilidades de kernel, token manipulation | | [[g0032-lazarus-group\|Lazarus Group]] | Process injection, exploit de vulnerabilidades locais | | [[Fancy Bear]] | Exploração de CVEs de escalada no Windows | | [[lockbit\|LockBit Operators]] | Bypass UAC, exploração de serviços mal configurados | | [[g0034-sandworm\|Sandworm]] | Exploração de componentes Windows, token abuse | ## Detecção e Mitigação ### Detecção - **Event ID 4672:** Atribuição de privilégios especiais — tokens de alto privilégio - **Event ID 4673:** Chamada de serviço privilegiado - **Sysmon Event ID 10:** Process access — monitorar acesso a lsass.exe - **EDR:** Alertas para bypass de UAC (processos filhos elevados de processos não-elevados) - **Audit Policy:** Habilitar "Audit Special Logon" e "Audit Privilege Use" ### Mitigação - **Princípio do Menor Privilégio:** Contas de usuário sem privilégios administrativos locais - **UAC em nível máximo:** Sempre solicitar credenciais para elevação - **Patch management:** Priorizar CVEs de escalada local (CVSS alta, tipo: Local) - **Credential Guard:** Isolar credenciais de domínio em enclave seguro - **JEA (Just Enough Administration):** Restringir PowerShell remoto ao mínimo necessário ## Relevância LATAM/Brasil Ataques de ransomware no Brasil frequentemente passam de acesso de usuário comum para Domain Admin em menos de 24 horas usando combinação de [[t1068-exploitation-privilege-escalation|T1068]] com ferramentas públicas como PrintNightmare, Zerologon e outros CVEs de escalada de privilégio em Active Directory. Ambientes de TI brasileiros frequentemente operam com usuários como administradores locais por questões de compatibilidade de software legado — tornando a escalada de privilégios trivial nesses ambientes. - [[ta0003-persistence|TA0003 - Persistence]] — fase anterior - [[ta0005-defense-evasion|TA0005 - Defense Evasion]] — fase seguinte - [[t1068-exploitation-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] — exploração de vuln local - [[t1055-process-injection|T1055 - Process Injection]] — injeção para elevar contexto - [[t1548-002-bypass-uac|T1548.002 - Bypass UAC]] — contorno do controle Windows - [[t1003-os-credential-dumping|T1003 - OS Credential Dumping]] — coleta pós-escalada - [[t1550-002-pass-the-hash|T1550.002 - Pass-the-Hash]] — uso de hash pós-escalada - [[_techniques|Índice de Técnicas]] — visão geral de todas as técnicas documentadas ## Referências - [[ta0004-*|MITRE ATT&CK - TA0004 Privilege Escalation]] - [Microsoft — Privilege Escalation Attack Techniques](https://docs.microsoft.com/en-us/security/compass/incident-response-playbook-privilege-escalation)