# T1548.006 - TCC Manipulation > **Técnica pai:** [[t1548-abuse-elevation-control-mechanism|T1548 - Abuse Elevation Control Mechanism]] ## Descrição **T1548.006** descreve o abuso do serviço **Transparency, Consent & Control (TCC)** do macOS - o mecanismo central de privacidade e segurança da Apple que controla o acesso de aplicativos a recursos sensíveis como câmera, microfone, localização, contatos, calendário, arquivos de disco completo (Full Disk Access) e compartilhamento de tela. Adversários manipulam ou contornam o TCC para conceder a executáveis maliciosos permissões elevadas sem acionar o prompt de consentimento do usuário, permitindo acesso a dados e serviços protegidos sem qualquer interação visível. O TCC opera através de um daemon (`tccd`) que consulta um banco de dados SQLite localizado em `/Library/Application Support/com.apple.TCC/TCC.db` (sistema) e `~/Library/Application Support/com.apple.TCC/TCC.db` (usuário). Quando um aplicativo solicita acesso a um recurso protegido, o daemon verifica o banco de dados em busca de permissões pré-existentes e, na ausência delas, exibe o prompt familiar ao usuário. Uma vez concedida a permissão, ela é armazenada no banco de dados e não é questionada novamente, a menos que sejá explicitamente revogada nas Preferências de Sistema. Adversários exploram esse modelo confiando na herança de permissões, na manipulação direta do banco de dados ou no abuso de aplicativos legítimos que já possuem permissões amplas. A criticidade desta sub-técnica no contexto do ecossistema macOS é alta: o TCC é a principal barreira entre aplicações não privilegiadas e dados sensíveis do usuário. Seu contorno efetivo permite que malware acesse o Full Disk Access (FDA) - equivalente funcional ao root para fins de leitura de dados -, capture a tela do usuário, acesse câmera e microfone, e leia arquivos de aplicativos como Mail, Safari, iMessage e apps de terceiros sem qualquer elevação de privilégio no sentido tradicional. O [[s0658-xcsset|XCSSET]], malware macOS documentado pela Trend Micro, é um dos exemplos mais conhecidos de abuso do TCC para acesso não autorizado a dados de aplicativos. ## Como Funciona Existem quatro vetores principais para contornar ou manipular o TCC: **1. Herança de permissões via Process Injection:** Aplicativos nativos do macOS como o Finder possuem Full Disk Access por padrão e não podem ter essa permissão revogada pelo usuário. Adversários que conseguem executar código dentro do espaço de processo do Finder - através de [[t1055-process-injection|T1055 - Process Injection]] ou técnicas de injeção de dylib - herdam automaticamente todas as permissões do processo pai, incluindo FDA. Um AppleScript malicioso executado pelo Finder, por exemplo, tem acesso irrestrito ao sistema de arquivos sem qualquer prompt ao usuário. **2. Manipulação direta do banco de dados TCC (SIP desabilitado):** Quando o System Integrity Protection (SIP) está desabilitado, o banco de dados TCC (`TCC.db`) pode ser modificado diretamente sem restrições. Adversários inserem entradas no banco de dados concedendo permissões ao seu executável malicioso para todos os recursos desejados. O daemon `tccd` consultará o banco de dados modificado e honrará as permissões fraudulentas como se fossem legítimas. **3. Substituição de banco de dados via variáveis de ambiente e Launchctl:** Mesmo com SIP habilitado, adversários podem usar variáveis de ambiente para redirecionar o `tccd` para um banco de dados TCC alternativo e controlado pelo atacante. Usando [[t1569-001-launchctl|Launchctl]] para manipular serviços do sistema, é possível carregar um banco de dados TCC customizado com permissões pré-configuradas para o malware, efetivamente contornando as proteções sem modificar os arquivos originais do sistema. **4. Abuso de entitlements e aplicativos com permissões amplas:** Aplicativos com entitlements especiais (como `com.apple.private.tcc.allow`) têm acesso irrestrito a recursos protegidos. Adversários que conseguem executar código dentro desses aplicativos - ou que conseguem assinar seus próprios binários com entitlements similares através de certificados de desenvolvedor comprometidos - obtêm as mesmas permissões sem manipular o banco de dados. ## Attack Flow ```mermaid graph TB A[Acesso inicial ao macOS<br/>usuário não privilegiado] --> B{Vetor de abuso TCC} B --> C[Process Injection no Finder<br/>T1055 - Process Injection] B --> D[SIP desabilitado<br/>Modificação direta do TCC.db] B --> E[Launchctl + variável de ambiente<br/>TCC.db alternativo] B --> F[Entitlement abuse<br/>App com permissões amplas] C --> G[Herança de Full Disk Access<br/>via processo Finder] D --> H[Entrada fraudulenta no TCC.db<br/>permissão para malware] E --> I[tccd carrega DB controlado<br/>pelo adversário] F --> J[Execução sob contexto<br/>de app privilegiado] G --> K[Acesso sem prompt ao usuário] H --> K I --> K J --> K K --> L[Acesso a câmera e microfone] K --> M[Captura de tela - screen recording] K --> N[Full Disk Access - todos os arquivos] K --> O[Acesso a iMessage, Mail, Safari] N --> P[Exfiltração de dados sensíveis] L --> Q[Espionagem - audio/video] M --> R[Keylogging visual / captura de credenciais] ``` ## Exemplos de Uso **[[s0658-xcsset|XCSSET]]:** Malware macOS descoberto pela Trend Micro em 2020 e atualizado em 2025 com suporte a Apple Silicon. O XCSSET abusa do TCC de múltiplas formas: injeta código em aplicativos legítimos como Safari e Notes para herdar suas permissões, e modifica o banco de dados TCC para obter acesso à câmera, microfone e dados de aplicativos. É distribuído principalmente via projetos Xcode comprometidos - daí o nome - impactando desenvolvedores de software macOS, incluindo aqueles que trabalham com frameworks como Flutter e React Native. **Campanha de espionagem corporativa macOS (2022-2023):** Grupos de threat intelligence documentaram amostras de macOS RATs que combinam T1548.006 com [[t1059-002-applescript|T1059.002 - AppleScript]] para automatizar a captura de tela e exfiltração de arquivos de usuários corporativos. O vetor inicial era phishing com arquivos DMG maliciosos disfarçados de atualizações de software legítimas. **Lazarus Group - macOS targets:** O [[g0032-lazarus-group|Lazarus Group]] expandiu suas capacidades para macOS em campanhas direcionadas ao setor de criptomoedas e exchanges. Amostras analisadas incluem rotinas de manipulação de TCC para acesso a carteiras de criptomoedas armazenadas localmente e credenciais de exchange em aplicativos nativos. **Adload:** Adware/spyware macOS que manipula permissões TCC para instalar extensões de navegador e interceptar tráfego web sem o consentimento do usuário. Ativo em campanhas contra usuários brasileiros e latino-americanos, frequentemente distribuído via software pirata e geradores de licença falsos. ## Detecção ```yaml title: Detecção de Modificação do Banco de Dados TCC status: experimental logsource: category: file_access product: macos detection: selection: FileName|endswith: - "TCC.db" - "TCC.db-shm" - "TCC.db-wal" FilePath|contains: - "/Library/Application Support/com.apple.TCC/" AccessType: - "write" - "modify" filter_legitimate: Image|contains: - "tccd" - "syspolicyd" condition: selection and not filter_legitimate level: high tags: - attack.defense_evasion - attack.privilege_escalation - attack.t1548.006 ``` ```yaml title: Execução de AppleScript por Processo com Full Disk Access status: experimental logsource: category: process_creation product: macos detection: selection_parent: ParentImage|endswith: - "Finder" - "osascript" ParentHasFullDiskAccess: true selection_child: Image|endswith: - "osascript" - "bash" - "sh" - "python3" CommandLine|contains: - "do shell script" - "tell application" condition: selection_parent and selection_child level: high tags: - attack.t1548.006 - attack.t1059.002 ``` **Estrategias adicionais de detecção:** - Monitorar via Endpoint Security Framework (ESF) eventos de acesso ao `TCC.db` por processos não pertencentes ao `tccd` - Auditar mudanças no banco de dados TCC usando `tccutil reset` e comparação periódica de hashes do arquivo - Detectar uso de variáveis de ambiente como `HOME` ou `XPC_TCC_SERVICE_MAP` em chamadas de Launchctl suspeitas - Monitorar injeções de dylib em processos com entitlements TCC elevados (Finder, SystemUIServer) - Alertar quando SIP é desabilitado (`csrutil status` retornando disabled) ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1026 | [[m1026-privileged-account-management\|M1026 - Privileged Account Management]] | Manter SIP (System Integrity Protection) habilitado em todos os dispositivos macOS; isso protege o TCC.db de modificações diretas e impede a maioria dos vetores de manipulação | | M1047 | [[m1047-audit\|M1047 - Audit]] | Auditar periodicamente permissões TCC concedidas via `tccutil` ou Preferências de Sistema; revisar aplicativos com Full Disk Access, Screen Recording e acesso à câmera/microfone | | M1022 | [[m1022-restrict-file-and-directory-permissions\|M1022 - Restrict File and Directory Permissions]] | Garantir permissões corretas no diretório `/Library/Application Support/com.apple.TCC/`; monitorar qualquer acesso de escrita por processos não autorizados via auditd ou ESF | | - | Gestão de MDM | Em ambientes corporativos, usar MDM (como Jámf) para configurar e bloquear permissões TCC via perfis de configuração; isso impede que usuários e malware modifiquem permissões sem aprovação do administrador | | - | Hardening de endpoints macOS | Aplicar políticas de hardening que incluam: SIP habilitado, Gatekeeper ativo, notarização exigida, monitoramento via ESF e Endpoint Security, e inventário de aplicativos com entitlements elevados | ## Software Associado - [[s0658-xcsset|XCSSET]] - malware macOS com múltiplos vetores de abuso TCC - [[adload|Adload]] - adware/spyware macOS com manipulação de permissões TCC ## Contexto Brasil/LATAM A adoção de dispositivos macOS no ambiente corporativo brasileiro cresceu significativamente nos últimos anos, impulsionada pelo setor financeiro, fintechs, agências de publicidade e empresas de tecnologia. Esse crescimento amplia a superfície de ataque para técnicas exclusivas de macOS como T1548.006. O ecossistema de cibercrime brasileiro, historicamente focado em Windows para trojans bancários, demonstra capacidade de adaptação e já documentou amostras de malware macOS distribuídas via sites de pirataria e repositórios falsos de ferramentas de desenvolvimento. O [[s0658-xcsset|XCSSET]] teve impacto documentado em desenvolvedores brasileiros de iOS/macOS, contaminando projetos Xcode hospedados em repositórios privados e distribuídos por comunidades de desenvolvimento. Dado que desenvolvedores frequentemente possuem acesso privilegiado a sistemas corporativos e repositórios de código-fonte, o comprometimento via TCC Manipulation nesse contexto tem potencial de impacto elevado - podendo resultar em supply chain attacks contra os produtos desenvolvidos. Para organizações brasileiras com ambientes macOS, a prioridade de mitigação é a gestão centralizada via MDM com políticas TCC que bloqueiem o acesso de aplicativos não aprovados a recursos sensíveis, combinada com monitoramento via soluções de EDR com suporte a macOS (como Crowdstrike Falcon, SentinelOne ou Jámf Protect). ## Referências - [[t1548-abuse-elevation-control-mechanism|T1548 - Abuse Elevation Control Mechanism]] - [[t1055-process-injection|T1055 - Process Injection]] - [[t1059-002-applescript|T1059.002 - AppleScript]] - [[t1569-001-launchctl|T1569.001 - Launchctl]] - [[s0658-xcsset|XCSSET]] - [[g0032-lazarus-group|Lazarus Group]] - [[m1026-privileged-account-management|M1026 - Privileged Account Management]] - [[m1047-audit|M1047 - Audit]] - [[m1022-restrict-file-and-directory-permissions|M1022 - Restrict File and Directory Permissions]] *Fonte: MITRE ATT&CK - T1548.006*