# T1548.002 - Bypass User Account Control > **Técnica pai:** [[t1548-abuse-elevation-control-mechanism|T1548 - Abuse Elevation Control Mechanism]] ## Descrição A sub-técnica **T1548.002 - Bypass User Account Control** descreve os métodos pelos quais adversários contornam o mecanismo de **User Account Control (UAC)** do Windows para elevar privilégios de processos sem exibir o prompt de confirmação ao usuário. O UAC, introduzido no Windows Vista e presente em todas as versões subsequentes, é um mecanismo fundamental de segurança que atribui **níveis de integridade** aos processos (Low, Medium, High, System) e exige autorização explícita - via prompt de confirmação ou credenciais de administrador - para que um processo passe do nível Medium para o nível High ou System. O objetivo é impedir que software não autorizado realize alterações no sistema sem o conhecimento do usuário. O problema é que a Microsoft, por razões de compatibilidade e usabilidade, construiu o UAC com **exceções deliberadas**: certos programas do sistema Windows são marcados como "auto-elevados" - eles podem elevar seus privilégios para High/System sem exibir nenhum prompt de UAC. Adversários descobriram que podem explorar esses binários auto-elevados para executar código malicioso com privilégios elevados "na sombra" do processo legítimo. O repositório **UACME** no GitHub documenta mais de 60 métodos diferentes de bypass UAC, e novos métodos são descobertos regularmente. Essa prolificidade de métodos torna o bypass UAC uma das técnicas de escalada de privilégios mais comuns e difíceis de defender no ecossistema Windows. A técnica afeta exclusivamente ambientes **Windows** e é um componente quase universal nas cadeias de ataque de grupos como [[g0082-apt38|APT38]], [[g0067-apt37|APT37]], [[g0080-cobalt-group|Cobalt Group]], [[g0069-mango-sandstorm|MuddyWater]] e virtualmente todos os grupos de ransomware relevantes. Ferramentas de C2 como [[s0154-cobalt-strike|Cobalt Strike]] possuem comandos nativos (`bypassuac`, `elevaté`, `getsystem`) que implementam múltiplos métodos de bypass UAC. Malwares como [[s0089-blackenergy|BlackEnergy]], [[s1202-lockbit-30|LockBit 3.0]], [[darkgaté|DarkGaté]] e [[s0670-warzonerat|WarzoneRAT]] também implementam bypass UAC como parte de seus fluxos de execução padrão. ## Como Funciona O UAC opera com base no conceito de **token de acesso dividido** (split token): quando um usuário membro do grupo Administradores faz login, o Windows cria dois tokens - um token de baixo privilégio (Medium integrity) para uso diário e um token de administrador completo (High integrity) que só é ativado quando o usuário confirma uma solicitação de elevação via UAC. O bypass UAC explora brechas nesse sistema para obter o token de alta integridade sem passar pela caixa de diálogo de confirmação. **Método 1 - Binários Auto-Elevados com Hijacking de Registro (o mais comum):** Programas como `fodhelper.exe`, `eventvwr.exe`, `msconfig.exe`, `wsreset.exe` e `ComputerDefaults.exe` são marcados com o manifesto `autoElevaté: true`. Quando executados, eles elevam automaticamente para High integrity sem prompt. Alguns desses binários verificam chaves de registro em `HKCU` (controlada pelo usuário) para encontrar executáveis associados ou abrir via shell. Adversários escrevem um payload malicioso nessas chaves de registro - como `HKCU\Software\Classes\ms-settings\Shell\Open\command` - antes de executar o binário auto-elevado. O binário legítimo, ao elevar-se, executa o payload do registro com permissões de High integrity. **Método 2 - COM Object Elevation (técnica clássica com Rundll32):** Certos objetos COM do Windows são marcados como "auto-elevados" (atributo `Elevation Level = HighPrivilege` no registro). Adversários carregam uma DLL maliciosa via [[t1218-011-rundll32|Rundll32]] que instancia um desses objetos COM elevados para realizar operações privilegiadas - como copiar arquivos para diretórios protegidos ou criar serviços do sistema - sem acionar o UAC. **Método 3 - DLL Hijacking em Processo Auto-Elevado:** Processos auto-elevados frequentemente carregam DLLs de caminhos que podem ser influenciados pelo atacante. Ao colocar uma DLL maliciosa em um diretório que o processo auto-elevado verifica antes dos caminhos do sistema (ex: `C:\Users\<user>\AppData\Local\Temp\`), o adversário faz o processo legítimo carregar seu código com privilégios de High integrity. **Método 4 - Técnica `eventvwr.exe` (histórica, ainda efetiva em sistemas desatualizados):** O `eventvwr.exe` (Event Viewer) é auto-elevado e verifica `HKCU\Software\Classes\mscfile\shell\open\command` para encontrar o executável padrão de arquivos `.msc`. Ao modificar essa chave antes de executar o `eventvwr.exe`, o adversário faz o Event Viewer lançar seu payload com privilégios de High integrity. Esse método foi amplamente documentado em 2016 e ainda funciona em Windows 10 sem o patch correspondente e em sistemas com UAC configurado abaixo do nível máximo. **Método 5 - Token Impersonation via Movimento Lateral:** Se um adversário já possui credenciais de conta com privilégios de administrador (obtidas via [[t1003-credential-dumping|credential dumping]], phishing ou outro método), pode usar essas credenciais para executar processos remotamente como High integrity, contornando o UAC que só existe como mecanismo local. Ferramentas como `PsExec` ou o módulo `psexec` do [[s0154-cobalt-strike|Cobalt Strike]] exploram isso. A efetividade de todos esses métodos depende do **nível de configuração do UAC**: - **"Always Notify" (máximo)**: A maioria dos bypasses baseados em binários auto-elevados é bloqueada - **"Notify only for app changes" (padrão)**: A maioria dos bypasses funciona - **"Notify only for app changes (dimmed)"**: Virtualmente todos os bypasses funcionam - **"Never notify"**: UAC está efetivamente desabilitado ## Attack Flow ```mermaid graph TB A["Acesso Inicial<br/>Shell com Medium Integrity"] --> B["Enumeração<br/>Identificar binários auto-elevados disponíveis<br/>e nível de configuração do UAC"] B --> C{"Método de Bypass"} C --> D["Registry Hijacking<br/>HKCU\\Software\\Classes\\ms-settings<br/>HKCU\\Software\\Classes\\mscfile"] C --> E["COM Object Elevation<br/>Rundll32 + DLL maliciosa<br/>Instancia objeto COM privilegiado"] C --> F["DLL Hijacking<br/>em processo auto-elevado"] D --> G["Executar Binário<br/>Auto-elevado Legítimo<br/>fodhelper.exe / wsreset.exe / eventvwr.exe"] E --> G F --> G G --> H["Payload Executado<br/>com High Integrity<br/>sem prompt UAC"] H --> I["Desabilitar Defesas<br/>Windows Defender / EDR<br/>com permissões de administrador"] I --> J["Implantar RAT/Backdoor<br/>com Persistência Privilegiada<br/>C2 / DarkGaté / Ransomware"] ``` ## Exemplos de Uso **APT38 - Campanhas contra Setor Financeiro (Global + LATAM):** O grupo [[g0082-apt38|APT38]], vinculado ao Bureau 121 da Coreia do Norte e responsável por bilhões de dólares em roubos ao setor financeiro global incluindo o Brasil (ataque ao Banco Central do Bangladesh com ramificações SWIFT), utiliza bypass UAC como etapa padrão em sua cadeia de comprometimento. Após obter acesso inicial via phishing ou exploração de sistemas bancários legados, o grupo eleva privilégios usando bypass UAC para implantar backdoors como BLINDINGCAN e HOTCROISSANT com permissões de administrador, garantindo persistência mesmo após mudanças de senhas. **Cobalt Group - Ataques a Bancos Brasileiros e LATAM:** O [[g0080-cobalt-group|Cobalt Group]], responsável por dezenas de roubos a ATMs e sistemas bancários na América Latina, é documentado usando o beacon do [[s0154-cobalt-strike|Cobalt Strike]] com o comando `bypassuac` para escalar de sessões de usuário padrão para SYSTEM em endpoints bancários. O grupo então usa privilégios de SYSTEM para se mover lateralmente dentro da rede interbancária e comprometer sistemas de processamento de transações. Campanhas de 2022-2024 contra bancos brasileiros de médio porte seguiram exatamente esse padrão. **MuddyWater - Espionagem Governamental:** O grupo iraniano [[g0069-mango-sandstorm|MuddyWater]] foi documentado pela Mandiant e Microsoft usando bypass UAC via `fodhelper.exe` em campanhas contra organizações governamentais e de telecomúnicações. Em 2023, o grupo expandiu operações para incluir alvos na América Latina, usando infraestrutura de C2 com servidores em países da região para reduzir latência e evitar bloqueios geográficos de IoCs conhecidos. **LockBit 3.0 - Ransomware no Brasil:** O [[s1202-lockbit-30|LockBit 3.0]] é o ransomware mais ativo contra organizações brasileiras em 2023-2025, com dezenas de vítimas confirmadas em setores de saúde, manufatura, varejo e governo. O binário do LockBit 3.0 implementa bypass UAC como rotina obrigatória de inicialização - antes de criptografar arquivos, ele se certifica de estar rodando com High integrity usando uma combinação de bypass via `wsreset.exe` e técnicas de token impersonation para garantir acesso a todos os volumes e compartilhamentos de rede. **DarkGaté - Loader de Malware (2023–presente):** O [[darkgaté|DarkGaté]], um loader/RAT altamente evasivo distribuído por grupos de acesso inicial como serviço (IAB), implementa múltiplos métodos de bypass UAC incluindo via `ComputerDefaults.exe` e via COM object elevation. O DarkGaté foi observado em campanhas de phishing direcionadas ao Brasil em 2024, sendo usado como primeiro estágio antes da implantação de ransomware. ## Detecção ### Fontes de Dados Recomendadas - **Process Creation (Sysmon Event ID 1)**: Processos auto-elevados (`fodhelper.exe`, `wsreset.exe`, `eventvwr.exe`, `ComputerDefaults.exe`) criando processos filhos suspeitos (cmd.exe, powershell.exe, scripts) - **Registry Events (Sysmon Event ID 12/13)**: Modificações em chaves HKCU suspeitas usadas em bypasses: `HKCU\Software\Classes\ms-settings`, `HKCU\Software\Classes\mscfile`, `HKCU\Environment` - **Windows Security Log**: Event ID 4688 com `TokenElevationType: %%1937` (Full token - High integrity sem solicitação UAC explícita) - **Process Integrity Level**: Detectar processos com High/System integrity que têm como pai processos com Medium integrity ```yaml title: UAC Bypass via fodhelper.exe Registry Key status: stable logsource: category: registry_set product: windows detection: selection_key: TargetObject|startswith: 'HKCU\Software\Classes\ms-settings\Shell\Open\command' condition: selection_key level: high tags: - attack.privilege_escalation - attack.defense_evasion - attack.t1548.002 falsepositives: - Raramente legítimo; investigar todos os casos ``` ```yaml title: UAC Bypass - Auto-Elevated Binary Spawning Suspicious Child Process status: experimental logsource: category: process_creation product: windows detection: selection_parent: ParentImage|endswith: - '\fodhelper.exe' - '\wsreset.exe' - '\eventvwr.exe' - '\ComputerDefaults.exe' - '\slui.exe' - '\pkgmgr.exe' selection_suspicious_child: Image|endswith: - '\cmd.exe' - '\powershell.exe' - '\wscript.exe' - '\cscript.exe' - '\mshta.exe' - '\rundll32.exe' condition: selection_parent and selection_suspicious_child level: critical tags: - attack.privilege_escalation - attack.t1548 - attack.t1548.002 falsepositives: - Ferramentas administrativas legítimas que delegam execução via esses binários ``` ```yaml title: HKCU windir Environment Variable Hijacking (UAC Bypass) status: stable logsource: category: registry_set product: windows detection: selection: TargetObject: 'HKCU\Environment\windir' condition: selection level: critical tags: - attack.privilege_escalation - attack.defense_evasion - attack.t1548.002 falsepositives: - Nenhum caso legítimo conhecido; alto fidelity ``` ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | [[m1052-user-account-control\|M1052]] | User Account Control | **Configurar UAC para "Always Notify" (nível máximo)**. Isso bloqueia a maioria dos bypasses baseados em binários auto-elevados, pois todos os pedidos de elevação passarão pelo prompt, mesmo para programas do sistema. Testar compatibilidade com software crítico antes de implementar. | | [[m1026-privileged-account-management\|M1026]] | Privileged Account Management | Reduzir o número de contas no grupo Administradores Locais. Cada conta com direitos de administrador local é um alvo potencial para bypass UAC. Implementar contas administrativas separadas para tarefas privilegiadas (tier model). | | [[m1047-audit\|M1047]] | Audit | Auditar regularmente membros do grupo Administradores Locais em todos os endpoints. Monitorar criação e modificação de chaves de registro em HKCU usadas em bypasses conhecidos. Revisar processos com High integrity gerados por processos Medium integrity. | | [[m1051-update-software\|M1051]] | Updaté Software | Manter o Windows e aplicações atualizados. A Microsoft periodicamente corrige binários auto-elevados que são explorados em bypasses UAC. Versões mais recentes do Windows 11 corrigiram vários métodos documentados no UACME. | ### Hardening Adicional Recomendado - **Desabilitar auto-elevação para binários específicos**: Através de GPO, é possível restringir quais aplicações recebem elevação automática - **Windows Defender Application Control (WDAC)**: Bloquear execução de binários não assinados que tentam interagir com processos auto-elevados - **Monitorar UACME repository**: Acompanhar novos bypasses documentados para atualizar regras de detecção - **Privileged Access Workstations (PAW)**: Para administradores de domínio e contas sensíveis, usar workstations dedicadas onde operações administrativas são separadas do uso diário ## Contexto Brasil/LATAM O Bypass UAC (T1548.002) é **a técnica de escalada de privilégios mais frequentemente observada em incidentes no Brasil**. Isso se deve a três fatores estruturais do ambiente de TI brasileiro: **1. Alta prevalência de UAC no nível padrão (não máximo):** A maioria das organizações brasileiras opera com UAC configurado no nível padrão ("Notify only for app changes"), que é exatamente o nível onde a maior parte dos bypasses documentados é efetiva. Poucas organizações chegam ao "Always Notify" por preocupações de usabilidade - especialmente em ambientes com desenvolvedores ou equipes de TI que precisam de elevações frequentes. **2. Presença maciça de Cobalt Strike:** O [[s0154-cobalt-strike|Cobalt Strike]] é a ferramenta de C2 mais utilizada por grupos criminosos e APTs que atacam o Brasil. Com comandos nativos como `bypassuac` e `elevaté`, ele torna o bypass UAC trivial para qualquer operador com acesso ao beacon. Relatórios do CERT.br e de empresas como Kaspersky, Crowdstrike e Trend Micro documentam Cobalt Strike como ferramenta presente em mais de 60% dos incidentes graves investigados no Brasil entre 2022 e 2025. **3. Grupos de ransomware ativos:** O [[s1202-lockbit-30|LockBit 3.0]], BlackCat/ALPHV, Cl0p e grupos regionais como o Medusa implementam bypass UAC como pré-requisito para a fase de criptografia. O Brasil é consistentemente um dos países mais afetados por ransomware na América Latina, com dezenas de organizações confirmadas em sites de vazamento desses grupos a cada mês. Organizações brasileiras que querem se proteger específicamente contra essa técnica devem priorizar: (1) elevar o UAC para "Always Notify" em workstations críticas, (2) implantar Sysmon com regras específicas para HKCU registry writes em chaves de bypass conhecidas, e (3) monitorar processos auto-elevados que geram processos filhos inesperados - um indicador de alta fidelidade raramente gerado por atividade legítima. ## Referências ### Técnica Pai - [[t1548-abuse-elevation-control-mechanism|T1548 - Abuse Elevation Control Mechanism]] ### Técnicas Relacionadas - [[t1055-process-injection|T1055 - Process Injection]] - [[t1218-011-rundll32|T1218.011 - Rundll32]] - [[t1559-001-component-object-model|T1559.001 - Component Object Model]] - [[t1003-credential-dumping|T1003 - OS Credential Dumping]] - [[t1078-valid-accounts|T1078 - Valid Accounts]] ### Threat Actors que Utilizam esta Técnica - [[g0082-apt38|APT38]] - Operações financeiras LATAM e Brasil - [[g0067-apt37|APT37]] - Espionagem estatal norte-coreana - [[g0080-cobalt-group|Cobalt Group]] - Ataques a bancos e ATMs - [[g0069-mango-sandstorm|MuddyWater]] - Espionagem iraniana, alvos governamentais - [[g1006-earth-lusca|Earth Lusca]] - APT chinês, múltiplos setores - [[g0040-patchwork|Patchwork]] - Espionagem sul-asiática - [[g1051-medusa-ransomware|Medusa Group]] - Grupo de ransomware ativo no Brasil - [[g0120-evilnum|Evilnum]] - Ataques ao setor financeiro europeu e LATAM - [[g0060-bronze-butler|BRONZE BUTLER]] - APT jáponês com foco em indústria - [[g0027-threat-group-3390|Threat Group-3390]] - APT chinês, espionagem ### Malware e Ferramentas Associadas - [[s0154-cobalt-strike|Cobalt Strike]] - C2 com módulos `bypassuac` e `elevaté` - [[s1202-lockbit-30|LockBit 3.0]] - Ransomware com bypass UAC nativo - [[darkgaté|DarkGaté]] - Loader/RAT com múltiplos métodos de bypass - [[s0089-blackenergy|BlackEnergy]] - Malware com capabilities de UAC bypass - [[s0670-warzonerat|WarzoneRAT]] - RAT com elevação via bypass UAC - [[s0154-cobalt-strike|Cobalt Strike]] - Framework de C2 prevalente no Brasil - [[g0048-rtm|RTM]] - Trojan bancário com foco no leste europeu e LATAM - [[s1018-saint-bot|Saint Bot]] - Loader com bypass UAC ### Mitigações - [[m1052-user-account-control|M1052 - User Account Control]] - [[m1026-privileged-account-management|M1026 - Privileged Account Management]] - [[m1047-audit|M1047 - Audit]] - [[m1051-update-software|M1051 - Updaté Software]] --- *Fonte: [MITRE ATT&CK - T1548.002](https://attack.mitre.org/techniques/T1548/002)*