t1222-file-and-directory-permissions-modification

# T1222 - File and Directory Permissions Modification ## Descrição Adversários podem modificar permissões ou atributos de arquivos e diretórios para contornar listas de controle de acesso (ACLs) e acessar arquivos protegidos. As permissões de arquivos e diretórios são gerenciadas por ACLs configuradas pelo proprietário do arquivo ou por usuários com as permissões adequadas. As implementações de ACL variam por plataforma, mas em geral designam explicitamente quais usuários ou grupos podem realizar quais ações - leitura, gravação, execução e outras. As modificações podem incluir a alteração de direitos de acesso específicos, o que pode exigir a tomada de posse (*ownership*) de um arquivo ou diretório e/ou permissões elevadas, dependendo das configurações existentes. Isso pode viabilizar atividades maliciosas como modificar, substituir ou excluir arquivos ou diretórios específicos. Modificações de permissões podem ser um passo necessário para outras técnicas, como estabelecer persistência via [[t1546-008-accessibility-features|Accessibility Features]], [[t1037-boot-or-logon-initialization-scripts|Boot or Logon Initialization Scripts]], [[t1546-004-unix-shell-configuration-modification|Unix Shell Configuration Modification]], ou contaminar/sequestrar arquivos binários e de configuração via [[t1574-hijack-execution-flow|Hijack Execution Flow]]. Adversários também podem alterar permissões de links simbólicos. Por exemplo, ransomware pode modificar links simbólicos e configurações associadas para habilitar acesso a arquivos de atalhos locais apontando para caminhos remotos - técnica amplamente utilizada por famílias como [[qilin|Qilin]] e [[lockbit|LockBit]] para maximizar o alcance da criptografia. > **Plataformas afetadas:** Windows, Linux, macOS, ESXi ## Sub-técnicas - [[t1222-001-windows-file-and-directory-permissions-modification|T1222.001 - Windows File and Directory Permissions Modification]] - [[t1222-002-linux-and-mac-file-and-directory-permissions-modification|T1222.002 - Linux and Mac File and Directory Permissions Modification]] ## Como Funciona A técnica explora o funcionamento nativo dos sistemas de permissões em cada plataforma. O adversário geralmente já possui acesso ao sistema (sejá como usuário regular ou com privilégios elevados) e manipula as permissões para ampliar seu controle ou para que outros componentes maliciosos possam operar sem restrições. **No Windows (T1222.001):** - `icacls` - ferramenta nativa para modificar ACLs de arquivos e diretórios NTFS. Exemplo: `icacls C:\Windows\System32\target.exe /grant Everyone:F` concede controle total a todos os usuários. - `cacls` - versão legada, ainda presente em sistemas mais antigos. - `takeown` - assume a propriedade de um arquivo antes de modificar suas permissões. - `attrib` - modifica atributos como oculto (`+H`) e sistema (`+S`) para dificultar a detecção. - PowerShell via `Set-Acl` - automação de modificações de ACL em lote. - APIs Win32 `SetFileSecurity`, `SetSecurityInfo` - utilizadas diretamente por malware para evitar logging de linha de comando. **No Linux/macOS (T1222.002):** - `chmod` - altera bits de permissão. `chmod 777 /etc/cron.d/malicious` torna o arquivo acessível por qualquer usuário. - `chown` - altera proprietário do arquivo. `chown root:root backdoor.sh` pode ser usado com `chmod +s` para criar SUID binaries. - `chattr` - define atributos especiais em filesystems ext. `chattr +i arquivo` torna o arquivo imutável, impedindo que ferramentas de segurança o removam. - Bit SUID/SGID - configurar `chmod u+s` em binários permite execução com privilégios do proprietário, independentemente de quem executa. **No VMware ESXi:** - Modificação de permissões em datastores e arquivos VMDK para dificultar análise forense e ferramentas de EDR que operam no hipervisor. - Usado por grupos como **UNC3886** em ataques a infraestrutura de virtualização. **Uso em cadeia com ransomware:** Ransomware moderno utiliza essa técnica em múltiplos estágios - primeiro modificando permissões de diretórios de backup e ferramentas de segurança para impedir que sejam executados ou acessados, depois garantindo que o payload tenha permissão de escrita em todos os diretórios-alvo antes de iniciar a criptografia. ## Attack Flow ```mermaid graph TB A[Acesso ao Sistema Usuário local ou privilegiado] --> B[Reconhecimento de Permissões Identificar arquivos/diretórios restritos] B --> C{Plataforma} C --> D[Windows icacls / takeown / attrib] C --> E[Linux/macOS chmod / chown / chattr] C --> F[ESXi Datastores e VMDKs] D --> G[Modificação de ACL NTFS Grant Everyone:F ou remoção de restrições] E --> H[chmod 777 / SUID chattr +i para imutabilidade] F --> I[Permissões em Datastores Bloquear acesso de ferramentas de segurança] G --> J[Objetivo Alcançado] H --> J I --> J J --> K[Persistência Hijack Execution Flow] J --> L[Defesa Prejudicada EDR/AV sem acesso ao diretório] J --> N[Ransomware Criptografia sem restrição de ACL] ``` ## Exemplos de Uso **LockBit - Desabilitação de ferramentas de segurança via permissões** O ransomware [[lockbit|LockBit]] utiliza `icacls` para modificar ACLs de diretórios onde ferramentas EDR e antivírus armazenam seus arquivos de definição e executáveis, negando acesso de leitura e gravação ao processo de segurança antes de iniciar a criptografia. **Qilin - Modificação de permissões em ambiente ESXi** O [[qilin|Qilin]] ransomware, notório por atacar infraestrutura VMware ESXi, modifica permissões em arquivos de disco virtual (VMDK) para impedir que administradores ou ferramentas de backup acessem os arquivos enquanto a criptografia ocorre em paralelo. **UNC3886 - ESXi Hypervisor Targeting** O grupo UNC3886 (nexo China) utilizou modificação de permissões em datastores ESXi para ocultar backdoors implantados em VMs guest, impedindo que ferramentas de segurança do host detectassem os arquivos maliciosos através do hipervisor. **Campanhas de cryptomining em Linux** Grupos de cryptomining como **TeamTNT** utilizam `chattr +i` em seus scripts de persistência no cron para torná-los imutáveis - impedindo que administradores os removam sem primeiro executar `chattr -i`, que requer privilégios root. **Ransomware no Brasil - Setor de saúde** Em campanhas contra hospitais e operadoras de planos de saúde brasileiras em 2024-2025, grupos de ransomware utilizaram `icacls /grant Everyone:F /T /C` recursivamente em diretórios de backup antes de acionar a criptografia, garantindo que nenhum processo de recovery conseguisse acessar os arquivos de backup Windows Server. ## Detecção A detecção eficaz requer monitoramento de chamadas a ferramentas nativas de modificação de permissões (`icacls`, `cacls`, `chmod`, `chown`, `chattr`) e de eventos de modificação de ACL no sistema de arquivos. Em Windows, o log de auditoria de objeto deve estar habilitado para arquivos críticos. **Sinais de alerta chave:** - Uso de `icacls`, `cacls` ou `takeown` por processos não-administrativos ou fora de horário comercial - `chmod 777` ou `chmod +s` em arquivos de sistema ou diretórios sensíveis - `chattr +i` aplicado a arquivos em `/etc/cron.*`, `/tmp`, `/var/spool` - Modificações em lote de ACLs (varredura recursiva com `/T`) - indicativo de preparação para ransomware - Modificações de permissões seguidas de execução de processo ou acesso a arquivo anteriormente bloqueado ```yaml title: Suspicious File Permission Modification via Native Tools status: experimental logsource: category: process_creation product: windows detection: selection_icacls: Image|endswith: - '\icacls.exe' - '\cacls.exe' - '\takeown.exe' CommandLine|contains: - 'Everyone:F' - '/grant' - '/T' selection_attrib: Image|endswith: '\attrib.exe' CommandLine|contains: - '+H' - '+S' - '+R' condition: 1 of selection_* falsepositives: - Administradores de sistema durante manutenção planejada - Scripts de instalação de software legítimo - Ferramentas de deployment (SCCM, Ansible) level: high tags: - attack.defense_evasion - attack.t1222 - attack.t1222.001 ``` **Linux/macOS - Sigma para chmod SUID suspeito:** ```yaml title: SUID Bit Set on Non-Standard Binary status: experimental logsource: category: process_creation product: linux detection: selection: Image|endswith: '/chmod' CommandLine|contains: - 'u+s' - '4755' - '4777' filter_known_paths: CommandLine|contains: - '/usr/bin/sudo' - '/usr/bin/passwd' - '/bin/ping' condition: selection and not filter_known_paths level: high tags: - attack.defense_evasion - attack.t1222.002 ``` ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | [[m1022-restrict-file-and-directory-permissions\|M1022]] | Restrict File and Directory Permissions | Configurar permissões restritivas por padrão em arquivos e diretórios sensíveis. Usar listas de controle de acesso explícitas (ACLs NTFS no Windows, extended ACLs no Linux) para restringir quem pode modificar permissões. Proteger diretórios de ferramentas de segurança, backups e logs contra modificação por usuários não-privilegiados. Implementar políticas de Group Policy para impedir que usuários regulares alterem permissões de arquivos de sistema. | | [[m1026-privileged-account-management\|M1026]] | Privileged Account Management | Restringir contas com capacidade de executar `takeown`, `icacls`, `chmod` em arquivos de sistema. Usar PAM (Privileged Access Management) para auditar e controlar uso de comandos privilegiados. Implementar autenticação de dois fatores para acesso privilegiado. Monitorar e alertar sobre uso de `sudo` ou `runas` para execução de ferramentas de modificação de permissões. | **Controles adicionais recomendados:** - Habilitar auditoria de acesso a objetos no Windows (`auditpol /set /subcategory:"File System"`) - Usar SELinux/AppArmor no Linux para limitar acesso de processos independentemente das permissões POSIX - Implementar FIM (File Integrity Monitoring) em diretórios críticos com alertas para modificações de permissão - Monitorar integridade de ACLs com ferramentas como `osquery` ou Sysmon (EventID 4670 - Permissions on object changed) ## Contexto Brasil/LATAM A modificação de permissões de arquivos é uma técnica transversal usada por práticamente todos os grupos de ransomware que atuam no Brasil e na América Latina, por ser um passo essencial para garantir o sucesso da criptografia e dificultar a recuperação. **Impacto no setor de saúde brasileiro:** O setor de saúde brasileiro foi um dos mais afetados por ransomware em 2024, com hospitais, laboratórios e operadoras de planos de saúde registrando incidentes. Nesses ataques, a modificação de permissões de diretórios de backup foi documentada como técnica pré-criptografia, tornando a recuperação sem pagamento de resgate práticamente impossível. **Ransomware direcionado a órgãos públicos:** Grupos que atacaram prefeituras e órgãos estaduais brasileiros utilizaram scripts PowerShell com `icacls` para modificar permissões de sistemas de gestão municipal (SGMUN, TOTVS, Betha) antes de criptografar os dados, visando maximizar a pressão sobre gestores públicos. **ESXi no contexto de virtualização LATAM:** Empresas de médio porte no Brasil utilizam amplamente VMware ESXi on-premises. Grupos como Qilin têm direcionado ataques específicamente a essa infraestrutura, modificando permissões em datastores para impedir backups Veeam e snapshots antes da criptografia de VMs. **Conformidade e resposta a incidentes:** Sob a [[lgpd|LGPD]], a modificação de permissões que resulte em acesso não autorizado a dados pessoais ou comprometimento de backups pode configurar incidente de segurança com obrigação de notificação à ANPD. O Decreto nº 11.491/2023, que regulamenta a LGPD, reforça essa obrigação para incidentes com potencial de dano significativo. ## Referências - [[t1222-001-windows-file-and-directory-permissions-modification|T1222.001 - Windows File and Directory Permissions Modification]] - Sub-técnica para Windows - [[t1222-002-linux-and-mac-file-and-directory-permissions-modification|T1222.002 - Linux and Mac File and Directory Permissions Modification]] - Sub-técnica para Linux/macOS/ESXi - [[qilin|Qilin]] - Ransomware que usa a técnica em ataques ESXi - [[lockbit|LockBit]] - Grupo de ransomware que usa icacls para desabilitar ferramentas de segurança - [[t1574-hijack-execution-flow|T1574 - Hijack Execution Flow]] - Técnica frequentemente habilitada pela modificação de permissões - [[t1546-008-accessibility-features|T1546.008 - Accessibility Features]] - Persistência que requer modificação de permissões - [[t1037-boot-or-logon-initialization-scripts|T1037 - Boot or Logon Initialization Scripts]] - Outra técnica de persistência relacionada - [[m1022-restrict-file-and-directory-permissions|M1022 - Restrict File and Directory Permissions]] - Mitigação principal - [[m1026-privileged-account-management|M1026 - Privileged Account Management]] - Controle de acesso privilegiado *Fonte: MITRE ATT&CK - T1222*