t1068-exploitation-for-privilege-escalation

# T1068 - Exploitation for Privilege Escalation ## Descrição Exploitation for Privilege Escalation é a técnica pela qual adversários exploram vulnerabilidades de software para elevar os próprios privilégios dentro de um sistema comprometido. Após obter acesso inicial - frequentemente em um contexto de baixo privilégio - o atacante busca falhas em componentes do sistema operacional, serviços executados com permissões elevadas ou drivers de kernel para escalar para SYSTEM (Windows) ou root (Linux/macOS). O objetivo é remover as barreiras de controle de acesso que impedem ações de alto impacto como extração de credenciais, movimentação lateral e persistência profunda. Uma variante crescente dessa técnica é o **Bring Your Own Vulnerable Driver (BYOVD)**: o adversário carrega no sistema um driver legítimo assinado digitalmente, porém com vulnerabilidade conhecida, e o explora para executar código no modo kernel - contornando assim até mesmo soluções de EDR que dependem de drivers de proteção. Essa abordagem é particularmente eficaz porque a assinatura digital do driver dificulta o bloqueio por políticas de integridade de código. Drivers com vulnerabilidades conhecidas podem ser transferidos ao alvo via [[t1105-ingress-tool-transfer|Ingress Tool Transfer]] ou [[t1570-lateral-tool-transfer|Lateral Tool Transfer]]. **Contexto Brasil/LATAM:** No ambiente brasileiro, essa técnica é frequentemente observada em incidentes de ransomware e espionagem corporativa. Grupos como [[g0080-cobalt-group|Cobalt Group]] - que historicamente ataca instituições financeiras na América Latina - combinam exploração de privilégio com [[s0154-cobalt-strike|Cobalt Strike]] para mover-se lateralmente em redes de bancos e processadoras de pagamento. A técnica BYOVD também aparece em campanhas de ransomware como [[s1181-blackbyte-20-ransomware|BlackByte 2.0 Ransomware]], que desabilita agentes de EDR via driver vulnerável antes de criptografar dados. Para SOCs brasileiros, a detecção precoce de tentativas de escalada é crítica: ambientes com patch management deficiente - realidade comum em muitas empresas nacionais - representam superfície de ataque ampliada. ## Attack Flow ```mermaid graph TB A[Acesso Inicial] --> B[Reconhecimento Local] B --> C{Exploração de Privilégio}:::highlight C --> D[Execução como SYSTEM/root] D --> E[Persistência e Movimento Lateral] classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona **Preparação** Após o acesso inicial, o adversário realiza reconhecimento local para identificar a versão exata do sistema operacional, patches instalados, serviços em execução e drivers carregados. Com base nessas informações, seleciona o exploit mais adequado - sejá uma vulnerabilidade do kernel sem patch (N-day ou zero-day), um serviço rodando com privilégio indevido, ou um driver assinado com falha de segurança conhecida (BYOVD). O exploit pode já estar embutido em ferramentas como [[s0363-empire|Empire]] ou [[s0154-cobalt-strike|Cobalt Strike]], ou ser transferido como binário separado. **Execução** O exploit é executado no contexto do processo comprometido. Em vulnerabilidades de kernel, o atacante aciona a falha para sobrescrever estruturas de dados críticas de controle de acesso, como tokens de processo no Windows, e assume um contexto de execução privilegiado. No caso de BYOVD, o driver vulnerável é carregado via `sc.exe` ou API direta, a vulnerabilidade é acionada para obter execução em ring-0, e o payload de escalada é injetado no kernel. Em ambientes containerizados, exploits como escape de container elevam o atacante do namespace isolado para o host subjacente. **Pós-execução** Com privilégios de SYSTEM ou root, o adversário pode realizar dump de credenciais (LSASS, /etc/shadow), desabilitar soluções de segurança, instalar rootkits, criar contas backdoor e mover-se lateralmente sem restrições. Em ambientes Windows corporativos, o próximo passo típico é a extração de hashes Kerberos para ataques de Pass-the-Hash ou Kerberoasting, escalando o comprometimento para controladores de domínio. ## Detecção **Event IDs relevantes (Windows)** | Event ID | Fonte | O que indica | |----------|-------|--------------| | 1 | Sysmon (Process Creaté) | Processo filho com SYSTEM gerado por processo de usuário comum | | 6 | Sysmon (Driver Load) | Carregamento de driver não listado em baseline - possível BYOVD | | 7 | Sysmon (Image Load) | DLL de exploit carregada em processo de baixo privilégio | | 4672 | Security | Atribuição de privilégios especiais a nova sessão após escala suspeita | | 4697 | Security | Instalação de serviço novo - vetor comum para escalada via serviço vulnerável | | 4688 | Security | Criação de processo com tokens de integridade elevados inesperadamente | **Regra Sigma - Carregamento de Driver Suspeito (BYOVD)** ```yaml title: Suspicious Vulnerable Driver Load (BYOVD) id: f8b2d4a6-3c7e-4f1a-b9d2-5e8c1a3f7b04 status: experimental description: Detecta carregamento de drivers com hashes conhecidos de drivers vulneráveis usados em ataques BYOVD author: RunkIntel daté: 2026-03-24 logsource: category: driver_load product: windows service: sysmon detection: selection: EventID: 6 Signed: 'true' filter_known_good: ImageLoaded|startswith: - 'C:\Windows\System32\drivers\' - 'C:\Windows\SysWOW64\drivers\' filter_exclude_ms: Signature|contains: 'Microsoft' selection_suspicious_path: ImageLoaded|contains: - '\Temp\' - '\Users\' - '\AppData\' - '\ProgramData\' condition: selection and selection_suspicious_path and not filter_known_good falsepositives: - Software de virtualização (VMware, VirtualBox) pode carregar drivers em paths não-padrão - Ferramentas de diagnóstico de hardware de terceiros level: high tags: - attack.privilege_escalation - attack.t1068 ``` ## Mitigação | ID | Mitigação | Recomendação Prática para Organizações Brasileiras | |----|-----------|---------------------------------------------------| | M1051 | [[m1051-update-software\|M1051 - Updaté Software]] | Priorize o patch de vulnerabilidades de escalada de privilégio no kernel e em serviços como Print Spooler, Task Scheduler e drivers de terceiros. No Brasil, a defasagem de patch management é um dos principais fatores de risco - implante um processo formal de jánela de manutenção mensal com priorização por CVSS e EPSS. | | M1050 | [[m1050-exploit-protection\|M1050 - Exploit Protection]] | Habilite o Windows Defender Credential Guard e o Exploit Protection. Configure mitigações de CFG (Control Flow Guard) e DEP para todos os processos de serviço. Para BYOVD, ative a política de Vulnerable Driver Blocklist da Microsoft via Windows Security. | | M1048 | [[m1048-application-isolation-and-sandboxing\|M1048 - Application Isolation and Sandboxing]] | Use containers ou VMs para isolar serviços críticos. Em ambientes Kubernetes (crescentemente adotados no Brasil), configure Pod Security Admission e restrinjá o uso de `privileged: true`. Limite capabilities de containers ao mínimo necessário. | | M1019 | [[m1019-threat-intelligence-program\|M1019 - Threat Intelligence Program]] | Monitore feeds de CTI para vulnerabilidades de escalada de privilégio recém-divulgadas com exploit público disponível. Priorize CVEs com `cisa-kev: true` e EPSS > 0.5 para patching de emergência, pois esses são os mais prováveis de serem ativamente explorados. | | M1038 | [[m1038-execution-prevention\|M1038 - Execution Prevention]] | Implante allowlisting de aplicações (AppLocker ou Windows Defender Application Control) para impedir a execução de exploits e drivers não autorizados. Bloqueie a carga de drivers não assinados ou não listados em política de baseline de drivers aprovados. | ## Threat Actors que Usam - [[g0027-threat-group-3390|Threat Group-3390]] - APT chinês de espionagem que explora vulnerabilidades de escalada de privilégio em servidores Windows para manter acesso persistente em redes de governo e defesa - [[g0125-silk-typhoon|HAFNIUM]] - ator chinês responsável pela exploração em massa dos servidores Exchange em 2021; usou escalada de privilégio para extrair caixas de e-mail e instalar webshells - [[g1048-unc3886|UNC3886]] - grupo de espionagem focado em infraestrutura de virtualização ESXi; explora vulnerabilidades de kernel e hipervisor para escapar de VMs e comprometer hosts físicos - [[g0016-apt29|APT29]] - grupo russo de inteligência (SVR) que combina exploração de privilégio com living-off-the-land para manter acesso em redes governamentais e de defesa ocidentais - [[g0010-turla|Turla]] - APT russo de longa data que usa exploração de kernel para instalar rootkits persistentes em alvos de alto valor na Europa e América - [[g0068-platinum|PLATINUM]] - APT com sofisticado uso de zero-days de kernel para escalada de privilégio em campanhas de espionagem de longa duração no sul da Ásia - [[g0061-fin8|FIN8]] - grupo de crime financeiro que usa exploração de privilégio para se mover lateralmente em redes de varejo e hospitalidade visando sistemas de ponto de venda - [[g0080-cobalt-group|Cobalt Group]] - organização criminosa que ataca bancos e ATMs na América Latina e Europa; usa escalada de privilégio combinada com ferramentas legítimas de pentest - [[g1019-moustachedbouncer|MoustachedBouncer]] - ator de espionagem que opera na Bielorrússia; usa exploração de privilégio em estações de trabalho de diplomatas para comprometer missões estrangeiras - [[g1017-volt-typhoon|Volt Typhoon]] - APT chinês focado em infraestrutura crítica que usa BYOVD e exploits de kernel para obter acesso persistente de alto privilégio em redes de energia e telecomúnicações ## Software Associado - [[s0154-cobalt-strike|Cobalt Strike]] - framework de pós-exploração amplamente adotado por grupos criminosos e APTs; inclui módulos de escalada de privilégio via exploits de kernel e bypass de UAC - [[s0363-empire|Empire]] - framework de pós-exploração em PowerShell/Python com módulos de escalada de privilégio para Windows e Linux; muito usado em campanhas de red team e por atores mal-intencionados - [[s0378-poshc2|PoshC2]] - framework C2 baseado em PowerShell com módulos de escalada de privilégio integrados; usado em campanhas contra organizações do Reino Unido e Europa - [[s1181-blackbyte-20-ransomware|BlackByte 2.0 Ransomware]] - operação de ransomware que usa BYOVD para desabilitar agentes de EDR antes da criptografia, tornando a detecção e resposta consideravelmente mais difíceis - [[s1247-embargo|Embargo]] - ransomware que combina escalada de privilégio com técnicas de evasão sofisticadas para contornar controles de segurança antes da fase de criptografia - [[s0125-remsec|Remsec]] - malware modular do grupo Strider/ProjectSauron com capacidade de escalada de privilégio via exploits de kernel em campanhas de espionagem de longa duração - [[s1151-zerocleare|ZeroCleare]] - wiper destrutivo iraniano que usa exploração de driver vulnerável para obter acesso de kernel e sobrescrever o MBR de sistemas-alvo - [[s0664-pandora|Pandora]] - backdoor usado em campanhas contra o setor de defesa que utiliza escalada de privilégio para instalar componentes persistentes no sistema - [[s0484-carberp|Carberp]] - trojan bancário com capacidade de escalada de privilégio via exploits de kernel do Windows para contornar UAC e instalar rootkit - [[s0050-cosmicduke|CosmicDuke]] - malware do APT29 com componentes de escalada de privilégio para extração de credenciais e persistência em ambientes corporativos --- *Fonte: [MITRE ATT&CK - T1068](https://attack.mitre.org/techniques/T1068)*