# T1546.008 - Accessibility Features ## Descrição Adversários podem estabelecer persistência e/ou elevar privilégios substituindo ou manipulando binários de recursos de acessibilidade do Windows. O sistema operacional Windows possui funcionalidades de acessibilidade que podem ser acionadas por combinações de teclas específicas mesmo **antes de o usuário efetuar login**, ou sejá, diretamente na tela de bloqueio ou na tela de logon. Um adversário que consiga modificar o comportamento dessas funções pode obter acesso a um prompt de comando com privilégios de SYSTEM sem precisar de credenciais válidas. Os dois alvos mais comuns são o `sethc.exe` (Sticky Keys, acionado ao pressionar Shift cinco vezes) e o `utilman.exe` (Central de Facilidade de Acesso, acionado via Windows + U). Quando substituídos por executáveis maliciosos como `cmd.exe`, o adversário obtém um shell SYSTEM diretamente na tela de logon, tanto fisicamente quanto por meio de sessões [[t1021-001-remote-desktop-protocol|Remote Desktop Protocol (RDP)]]. Isso torna a técnica especialmente perigosa em ambientes corporativos que utilizam acesso remoto extensamente. Além da substituição direta de binários, existem variantes mais sofisticadas que usam o mecanismo de [[t1546-012-image-file-execution-options-injection|Image File Execution Options Injection]] no Registro do Windows para redirecionar a execução sem modificar os arquivos originais. Esse método é mais discreto e contorna proteções como o Windows File Protection (WFP) e o Windows Resource Protection (WRP), que impedem a alteração de binários protegidos no sistema em versões mais recentes do Windows. Independentemente do método, o resultado é o mesmo: execução arbitrária de código com privilégios máximos sem autenticação. ## Como Funciona A técnica explora a arquitetura de acessibilidade do Windows, que é projetada para carregar determinados programas em contexto privilegiado antes da autenticação do usuário. O processo de exploração pode ocorrer por dois caminhos principais: **Método 1 - Substituição direta de binários:** O adversário, que já possui acesso de administrador ou SYSTEM (por exemplo, via boot de mídia externa, acesso físico ou outra vulnerabilidade), substitui fisicamente um dos binários de acessibilidade por um executável malicioso ou por `cmd.exe`. Em versões antigas do Windows (XP, Server 2003, Server 2008 R2), essa substituição é direta. Em versões modernas, o binário substituto precisa estar assinado digitalmente e residir em `%SystemRoot%\System32\`. O adversário pode contornar essa restrição utilizando métodos alternativos. **Método 2 - Image File Execution Options (IFEO):** O adversário modifica a chave de Registro `HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\{binário}.exe` para adicionar um valor `Debugger` apontando para um executável malicioso. Quando o binário original é invocado (ex.: `sethc.exe`), o Windows redireciona a execução para o debugger configurado - que na prática é o payload do atacante. Esse método não requer substituição do arquivo original e é mais difícil de detectar por soluções de monitoramento de integridade de arquivos. Os binários de acessibilidade exploráveis com essa técnica incluem: | Binário | Gatilho | Caminho | |---------|---------|---------| | `sethc.exe` | Shift × 5 | `C:\Windows\System32\sethc.exe` | | `utilman.exe` | Win + U | `C:\Windows\System32\utilman.exe` | | `osk.exe` | Teclado na tela | `C:\Windows\System32\osk.exe` | | `Magnify.exe` | Lupa | `C:\Windows\System32\Magnify.exe` | | `Narrator.exe` | Narrador | `C:\Windows\System32\Narrator.exe` | | `DisplaySwitch.exe` | Alternar exibição | `C:\Windows\System32\DisplaySwitch.exe` | | `AtBroker.exe` | App Switcher | `C:\Windows\System32\AtBroker.exe` | Uma vez que o binário malicioso sejá acionado na tela de logon, o contexto de execução é herdado do processo `winlogon.exe`, resultando em um shell ou processo rodando como `NT AUTHORITY\SYSTEM` - o nível de privilégio máximo no Windows. ## Attack Flow ```mermaid graph TB A[Acesso inicial ao sistema<br/>ex: RDP, exploit, credencial válida] --> B[Escalada de privilégios<br/>para Administrador Local ou SYSTEM] B --> C{Método de abuso} C --> D[Substituição direta<br/>de binário acessibilidade] C --> E[IFEO Injection<br/>no Registro Windows] D --> F[Binário malicioso em<br/>%SystemRoot%\\System32\\] E --> G[Chave Debugger aponta<br/>para payload] F --> H[Acesso à tela de logon<br/>explora combinação de teclas] G --> H H --> I[Shell SYSTEM sem autenticação<br/>STEALTH BACKDOOR] I --> J[Persistência de longo prazo<br/>Latência de detecção alta] J --> K[Movimentação lateral via RDP<br/>com acesso SYSTEM] ``` ## Exemplos de Uso **APT41 (Winnti Group):** O grupo chinês [[g0096-apt41|APT41]], conhecido por ataques a cadeias de suprimentos e espionagem combinada com crime financeiro, foi documentado usando a técnica de substituição de `utilman.exe` para manter backdoors persistentes em redes corporativas comprometidas. A técnica foi usada em conjunto com [[t1021-001-remote-desktop-protocol|RDP]] para reestabelecer acesso após mudanças de credenciais. **APT29 (Cozy Bear):** O grupo russo [[g0016-apt29|APT29]], atribuído ao SVR russo, utilizou variações dessa técnica em operações de espionagem de longo prazo. A manipulação de recursos de acessibilidade foi observada em campanhas contra organizações governamentais ocidentais, onde a técnica servia como mecanismo de acesso de recuperação caso outros canais de C2 fossem bloqueados. **Fox Kitten (APT34/OilRig adjacente):** O grupo iraniano [[g0117-fox-kitten|Fox Kitten]] foi associado ao uso de IFEO Injection para ocultar backdoors em sistemas Windows de organizações do setor de energia e telecomúnicações. A variante IFEO é preferida por grupos mais sofisticados por evitar alertas de monitoramento de integridade de arquivos. **Deep Panda:** O grupo [[g0009-deep-panda|Deep Panda]], também de origem chinesa, foi documentado usando sticky keys backdoors (`sethc.exe`) em operações de espionagem contra contratantes de defesa e entidades governamentais nos EUA, conforme relatórios da CrowdStrike e do Departamento de Justiça americano. **Ferramenta Empire:** O framework de pós-exploração [[s0363-empire|Empire]] inclui módulos que automatizam a criação de backdoors via acessibilidade, reduzindo a barreira técnica para uso da técnica por grupos menos sofisticados. ## Detecção A detecção eficaz requer monitoramento tanto de alterações em arquivos de sistema quanto de modificações no Registro do Windows. Soluções de EDR (Endpoint Detection and Response) como [[crowdstrike-falcon|CrowdStrike Falcon]], [[microsoft-defender|Microsoft Defender for Endpoint]] e [[sentinel-one|SentinelOne]] possuem detecções nativas para essa técnica. ```yaml title: Accessibility Feature Binary Replaced or Registry Debugger Set status: stable logsource: category: registry_set product: windows detection: selection_ifeo: TargetObject|contains: - '\Image File Execution Options\sethc.exe\Debugger' - '\Image File Execution Options\utilman.exe\Debugger' - '\Image File Execution Options\osk.exe\Debugger' - '\Image File Execution Options\Magnify.exe\Debugger' - '\Image File Execution Options\Narrator.exe\Debugger' - '\Image File Execution Options\DisplaySwitch.exe\Debugger' - '\Image File Execution Options\AtBroker.exe\Debugger' condition: selection_ifeo level: high tags: - attack.privilege_escalation - attack.persistence - attack.t1546.008 ``` Adicionalmente, monitorar eventos de criação/modificação de arquivos nos caminhos: - `C:\Windows\System32\sethc.exe` - `C:\Windows\System32\utilman.exe` E eventos de login do Windows (Event ID 4624/4625) em conjunção com processos iniciados por `winlogon.exe` que não sejam os binários esperados. O Event ID 4688 (criação de processo) com `ParentProcessName` = `winlogon.exe` e `NewProcessName` fora do padrão é um forte indicador de comprometimento. ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | [[m1035-limit-access-to-resource-over-network\|M1035]] | Limit Access to Resource Over Network | Restringir acesso RDP à rede interna e exigir autenticação de nível de rede (NLA) reduz a superfície de ataque para exploração remota desta técnica | | [[m1028-operating-system-configuration\|M1028]] | Operating System Configuration | Habilitar Windows Defender Credential Guard e configurar o Secure Boot para impedir boot de mídia externa que permita substituição de binários fora do OS em execução | | [[m1038-execution-prevention\|M1038]] | Execution Prevention | Implementar políticas AppLocker ou WDAC (Windows Defender Application Control) que impeçam a execução de binários não assinados no contexto de processos do sistema | ## Contexto Brasil/LATAM No contexto brasileiro e latino-americano, a técnica T1546.008 é especialmente relevante dado o alto uso de [[t1021-001-remote-desktop-protocol|RDP]] como principal vetor de acesso remoto em pequenas e médias empresas (PMEs) e órgãos governamentais. Muitas organizações na região ainda expõem o RDP diretamente à internet (porta 3389) sem autenticação multifator, criando um ambiente propício para a exploração dessa técnica após comprometimento inicial via força bruta ou credenciais vazadas. Grupos de ransomware como [[lockbit|LockBit]], [[blackcat|ALPHV]] e [[hive|Hive]], que operam ativamente no Brasil, frequentemente utilizam sticky keys backdoors como mecanismo de persistência após comprometerem redes via RDP. Isso permite que o grupo mantenha acesso mesmo após troca de senhas durante a resposta a incidentes - uma tática de "dupla extorsão" na qual o acesso residual é usado como alavanca de negociação. O [[sources|CERT.br]] e a [[anatel|Anatel]] registraram múltiplos incidentes em 2024-2025 envolvendo órgãos públicos municipais e estaduais onde backdoors de acessibilidade foram encontrados em sistemas Windows de controle de infraestrutura crítica, incluindo sistemas de controle de tráfego e servidores de prefeituras. Organizações do setor financeiro brasileiro devem considerar esta técnica no escopo de seus exercícios de Red Team, especialmente em ambientes com servidores Windows legados que não recebem patches regulares - ainda prevalentes em sistemas core bancários de cooperativas e bancos regionais. ## Referências - **Técnica pai:** [[t1546-event-triggered-execution|T1546 - Event Triggered Execution]] - **Técnicas relacionadas:** - [[t1546-012-image-file-execution-options-injection|T1546.012 - Image File Execution Options Injection]] - [[t1021-001-remote-desktop-protocol|T1021.001 - Remote Desktop Protocol]] - [[t1078-valid-accounts|T1078 - Valid Accounts]] - [[t1136-create-account|T1136 - Creaté Account]] - **Threat actors associados:** - [[g0096-apt41|APT41]] - Winnti Group, espionagem + crime financeiro - [[g0016-apt29|APT29]] - Cozy Bear, SVR russo - [[g0117-fox-kitten|Fox Kitten]] - grupo iraniano, energia e telecom - [[g0009-deep-panda|Deep Panda]] - espionagem chinesa, defesa e governo - [[g0001-axiom|Axiom]] - grupo chinês de espionagem - [[g0022-apt3|APT3]] - UPS Team, espionagem tecnológica - **Ferramentas associadas:** [[s0363-empire|Empire]] - **Mitigações:** [[m1035-limit-access-to-resource-over-network|M1035]], [[m1028-operating-system-configuration|M1028]], [[m1038-execution-prevention|M1038]] - **Fonte oficial:** [MITRE ATT&CK - T1546.008](https://attack.mitre.org/techniques/T1546/008)