# T1574.010 - Services File Permissions Weakness Técnica pai: [[t1574-hijack-execution-flow|T1574 - Sequestro de Fluxo de Execução]] ## Descrição Adversários podem executar payloads maliciosos substituindo os binários utilizados por **serviços do Windows** quando as permissões do sistema de arquivos estão configuradas de forma inadequada. Serviços do Windows executam binários específicos durante sua inicialização ou em resposta a eventos do sistema. Se as permissões do diretório que contém o binário-alvo, ou as permissões do próprio binário, estiverem incorretamente definidas, um usuário com privilégios limitados pode **sobrescrever o binário legítimo** com um payload malicioso. Como o serviço original é executado com permissões elevadas (frequentemente **SYSTEM**), o binário substituído também será executado com esse nível de privilégio - transformando uma permissão excessiva de escrita em uma via de **escalada de privilégios** e **persistência**. ### Condições necessárias 1. Um serviço Windows configurado para iniciar automaticamente (boot ou evento) 2. O binário do serviço ou seu diretório com permissões de escrita acessíveis a usuários sem privilégios 3. Capacidade de reiniciar o serviço (diretamente, via reboot, ou aguardando reinicialização agendada) ### Diferença para T1574.009 (Path Interception) T1574.010 explora **permissões excessivas em arquivos ou diretórios existentes** de um serviço real. Já T1574.009 cria um binário em uma localização precedente no PATH não qualificado. São vetores distintos, embora ambos explorem configurações incorretas de serviços Windows. ## Attack Flow ```mermaid graph TB A([Acesso Inicial - usuário padrão]) --> B[Enumeração de serviços Windows] B --> C[Identifica binário de serviço com permissão de escrita] C --> D{Verificação de permissão} D -->|Diretório gravável| E[Sobrescreve binário no diretório] D -->|Binário diretamente gravável| F[Substitui binário do serviço] E --> G[Aguarda reinicialização do serviço] F --> G G --> H[Serviço reinicia - executa payload malicioso] H --> I[Execução como SYSTEM ou conta de serviço privilegiada] I --> J([Persistência + Escalada de Privilégios]) ``` ## Contexto e Relevância Esta técnica é especialmente relevante em ambientes corporativos onde softwares de terceiros são instalados com permissões excessivamente abertas em seus diretórios de instalação. Instaladores mal escritos frequentemente concedem permissões de escrita a grupos como **Everyone** ou **Authenticated Users** no diretório do binário - criando a condição exata que esta técnica explora. O malware [[s0089-blackenergy|BlackEnergy]], utilizado em campanhas de sabotagem contra infraestrutura crítica, explorou técnicas relacionadas a serviços do Windows para garantir persistência em redes comprometidas. Esta abordagem é prevalente em movimentação lateral pós-comprometimento, especialmente em campanhas de ransomware que buscam manter acesso persistente antes da detonação do payload final. A técnica se enquadra na cadeia [[t1574-hijack-execution-flow|T1574 - Sequestro de Fluxo de Execução]] e frequentemente acompanha técnicas como [[t1569-system-services|T1569 - System Services]] para abusar de serviços existentes como vetor de execução. ## Contexto Brasil/LATAM No contexto brasileiro e latino-americano, essa sub-técnica é frequentemente observada em análises pós-incidente de ataques de ransomware contra empresas dos setores [[financial|financeiro]], [[healthcare|saúde]] e [[manufatura|manufatura]]. A causa raiz recorrente é a instalação de softwares de terceiros - como agentes de monitoramento, soluções de backup e ferramentas de gestão de TI - que configuram serviços Windows com permissões de escrita excessivamente abertas nos seus diretórios de instalação. Afiliados de ransomware que atuam no Brasil, como os associados ao [[lockbit-ransomware|LockBit]] e grupos de língua portuguesa identificados em fóruns de cibercrime, utilizam ferramentas de enumeração como `accesschk.exe` (Sysinternals) e `PowerUp` (PowerSploit) para identificar serviços com binários vulneráveis logo após o acesso inicial. Essa fase de reconhecimento de privilégios é bem documentada em relatórios de resposta a incidentes de empresas que atuam no [[government|setor público]] brasileiro, onde softwares de integração com sistemas da Receita Federal e do governo estadual frequentemente apresentam esse tipo de misconfiguration. O [[s0089-blackenergy|BlackEnergy]], mencionado em incidentes de infraestrutura crítica, utilizou persistência via serviços Windows em campanhas que, embora com foco inicial na Ucrânia, estabeleceram TTPs amplamente replicadas por grupos com interesse em [[energy|infraestrutura de energia]] e [[telecommunications|telecomúnicações]] na América Latina. A técnica é uma das prioritárias em exercícios de Red Team realizados por times de segurança ofensiva no Brasil, dado o alto índice de sucesso em ambientes corporativos com gestão deficiente de permissões de serviço. ## Mitigação | ID | Mitigação | Descrição | |---|-----------|-----------| | M1018 | [[m1018-user-account-management\|M1018 - User Account Management]] | Garantir que usuários padrão não tenham permissão de escrita em diretórios de binários de serviços; aplicar princípio do menor privilégio | | M1047 | [[m1047-audit\|M1047 - Audit]] | Auditar regularmente as permissões de arquivos e diretórios associados a serviços críticos do Windows; usar `icacls` ou ferramentas como AccessChk (Sysinternals) | | M1052 | [[m1052-user-account-control\|M1052 - User Account Control]] | Manter UAC habilitado; exigir elevação explícita para modificação de binários de serviços | ## Detecção > [!tip] Estrategias de Detecção > - Monitorar criação ou modificação de arquivos em diretórios de binários de serviços conhecidos (`C:\Program Files\`, `C:\Windows\System32\`) > - Alertar quando um binário de serviço for modificado por um processo sem elevação de privilégio > - Usar **AccessChk** (Sysinternals) periodicamente para auditar permissões: `accesschk.exe -uwcqv "Authenticated Users" *` > - Correlacionar eventos de reinicialização de serviço (Event ID 7036) com modificações recentes no binário correspondente > - Implementar monitoramento de integridade de arquivos (FIM) em diretórios críticos de serviços ## Software Associado - [[s0089-blackenergy|BlackEnergy]] - malware de sabotagem ICS/SCADA com técnicas de persistência via serviços Windows ## Threat Actors que Usam Não há atribuição pública consolidada para esta sub-técnica específica, porém operadores de ransomware e grupos APT com foco em persistência de longo prazo em ambientes Windows corporativos são os perfis mais prováveis de explorá-la durante a fase pós-comprometimento. --- *Fonte: MITRE ATT&CK - T1574.010, versão 16.2*