t1574-005-executable-installer-file-permissions-weakness

# T1574.005 - Executable Installer File Permissions Weakness ## Técnica Pai [[t1574-hijack-execution-flow|T1574 - Sequestro de Fluxo de Execução]] ## Descrição Adversários exploram **permissões incorretas em binários ou diretórios usados por instaladores** para substituir executáveis legítimos por versões maliciosas, obtendo execução de código com privilégios elevados. Existem duas variações principais da técnica: **Variação 1 - Substituição de binário:** Se as permissões do sistema de arquivos no diretório que contém um binário alvo, ou nas próprias permissões do binário, estiverem configuradas incorretamente, o adversário pode sobrescrever o binário alvo com outro usando apenas permissões de nível de usuário. Quando o processo original (que roda com privilégios mais altos) executar o binário substituído, o código malicioso será executado com os mesmos privilégios elevados - podendo incluir `SYSTEM`. **Variação 2 - Abuso de subdiretório temporário do instalador:** Durante o processo de instalação, é comum que instaladores auto-extraíveis descompactem DLLs, executáveis e outros componentes em um subdiretório dentro de `%TEMP%`. Muitos instaladores não definem permissões restritivas nesses subdiretórios, permitindo que um adversário com acesso ao sistema coloque código não confiável nesses caminhos ou sobrescreva binários antes que o instalador os execute. Esta variação se relaciona diretamente com [[t1574-001-dll|T1574.001 - DLL Search Order Hijacking]]. Quando combinada com instaladores que requerem elevação de privilégio, a técnica resulta em escalação de privilégio automaticamente no momento da execução. Se o processo instalador for agendado (por exemplo, na inicialização do sistema), a técnica também garante **persistência** - fazendo do vetor um mecanismo duplo: escalação + persistência. O grupo [[g0129-mustang-panda|Mustang Panda]] utiliza esta abordagem para manter acesso persistente em ambientes Windows, frequentemente em conjunto com [[t1548-002-bypass-user-account-control|T1548.002 - Bypass User Account Control]]. ## Attack Flow ```mermaid graph TB A([Acesso Inicial]) --> B[Identificar instalador vulnerável] B --> C{Vetor de abuso} C --> D[Binário com permissões fracas] C --> E[Subdiretório TEMP sem ACL restritiva] D --> F[Substituir binário por payload malicioso] E --> G[Colocar DLL/EXE malicioso no caminho de busca] F --> H[Instalador executa binário substituído] G --> H H --> I{Nível de privilégio do instalador} I --> J[Execução como SYSTEM / Admin] J --> K([Escalação de privilégio + Persistência]) K --> L[C2 / Movimentação lateral] ``` ## Como Funciona **1. Reconhecimento de instaladores vulneráveis** O adversário identifica softwares instalados no sistema cujos binários ou diretórios de instalação possuem ACLs permissivas - frequentemente usando ferramentas como `icacls` ou `accesschk` para auditar permissões. **2. Abuso de permissões no binário** Se o binário alvo puder ser sobrescrito por um usuário padrão, o adversário substitui o executável legítimo por um payload malicioso. Na próxima execução do instalador ou serviço (que roda com privilégios elevados), o payload é executado no contexto privilegiado. **3. Abuso do diretório `%TEMP%`** Instaladores auto-extraíveis criam subdiretórios em `%TEMP%` com nomes gerados dinâmicamente e frequentemente com permissões abertas. O adversário monitora esses diretórios e injeta DLLs ou executáveis antes que o instalador os carregue, aproveitando a ordem de busca de DLLs do Windows (relacionado a [[t1574-001-dll|DLL Search Order Hijacking]]). **4. Escalação e persistência simultâneas** Se o instalador é configurado para rodar no boot ou via agendador de tarefas, a substituição do binário garante execução maliciosa persistente e com altos privilégios a cada reinicialização - sem necessidade de reinfectar o sistema. **5. Camuflagem** O binário malicioso frequentemente mantém a funcionalidade original (wrapper), para não levantar suspeitas nos usuários que utilizam o software normalmente. ## Contexto Brasil/LATAM No Brasil e na América Latina, essa sub-técnica é especialmente relevante em ambientes corporativos que utilizam softwares de gestão desenvolvidos localmente - ERPs, sistemas de emissão de nota fiscal eletrônica (NF-e), integradores com a SEFAZ e ferramentas de folha de pagamento. Esses sistemas frequentemente são distribuídos via instaladores `.exe` que extraem componentes para `%TEMP%` sem configurar permissões restritivas, criando a jánela de exploração descrita na técnica. O grupo [[g0129-mustang-panda|Mustang Panda]], que usa essa sub-técnica, opera campanhas de espionagem com foco em organizações governamentais e ONGs na região da Ásia-Pacífico - mas o vetor técnico é diretamente replicável por grupos com foco em LATAM. No [[government|setor governamental]] brasileiro, onde o parque de softwares legados é extenso e atualizações de segurança são demoradas, instaladores com permissões abertas em diretórios como `C:\Program Files\` são uma realidade documentada por times de pentest nacionais. Campanhas de ransomware direcionadas a empresas brasileiras - como as operadas por afiliados do [[lockbit-ransomware|LockBit]] e do [[blackcat|ALPHV]] no Brasil - frequentemente incluem uma fase de escalação de privilégios em que a substituição de binários de instaladores vulneráveis é explorada após o comprometimento inicial via [[t1566-phishing|phishing]]. A combinação com [[t1548-002-bypass-user-account-control|T1548.002 - Bypass UAC]] torna o vetor particularmente eficaz em ambientes onde o UAC não está corretamente configurado, situação ainda comum em organizações de médio porte no [[financial|setor financeiro]] e [[healthcare|saúde]] da região. ## Detecção **Monitoramento recomendado:** - Modificações em binários de instaladores por processos diferentes do próprio instalador - Criação de arquivos executáveis (`*.exe`, `*.dll`) em subdiretórios de `%TEMP%` durante processos de instalação - Execução de binários a partir de `%TEMP%` por processos com tokens de privilégio elevado - Auditoria de ACLs em diretórios de instalação de softwares (`icacls` baseline) **Regra Sigma - Substituição de binário em diretório de instalação:** ```yaml title: Executable Replaced in Installer Directory id: c2f8a3d4-7b1e-4f9c-a5d2-0e3b6c8f1a7d status: experimental description: > Detecta sobrescrita de arquivos executáveis em diretórios de instalação por processos que não sejam instaladores ou atualizadores legítimos. logsource: category: file_event product: windows detection: selection: TargetFilename|contains: - '\Program Files\' - '\Program Files (x86)\' TargetFilename|endswith: - '.exe' - '.dll' EventType: 'FileCreaté' filter_legitimate: Image|contains: - '\Windows\System32\msiexec.exe' - '\Windows\SysWOW64\msiexec.exe' - 'setup.exe' - 'installer.exe' condition: selection and not filter_legitimate falsepositives: - Atualizadores automáticos legítimos de software - Ferramentas de gestão de patch corporativas (SCCM, Intune) level: high tags: - attack.persistence - attack.privilege_escalation - attack.t1574.005 ``` ## Mitigação | ID | Mitigação | Descrição | |---|-----------|-----------| | M1047 | [[m1047-audit\|M1047 - Audit]] | Auditar regularmente as permissões de arquivos e diretórios de instalação com ferramentas como `icacls` ou `accesschk`. Identificar e corrigir ACLs permissivas antes que sejam exploradas. | | M1052 | [[m1052-user-account-control\|M1052 - User Account Control]] | Manter o UAC habilitado para exigir consentimento explícito em operações que requerem elevação, limitando o impacto de instaladores mal configurados. | | M1018 | [[m1018-user-account-management\|M1018 - User Account Management]] | Aplicar o princípio do menor privilégio. Usuários padrão não devem ter permissão de escrita em diretórios de instalação de softwares. | ## Referências *Fonte: [MITRE ATT&CK - T1574.005](https://attack.mitre.org/techniques/T1574/005)*