# T1548.004 - Elevated Execution with Prompt ## Descrição **T1548.004 - Elevated Execution with Prompt** é uma subtécnica de [[Privilege Escalation]] exclusiva do macOS, na qual adversários abusam da API `AuthorizationExecuteWithPrivileges` para executar processos com privilégios de root mediante um prompt de credenciais apresentado ao usuário. Essa API foi originalmente criada para simplificar operações que requerem elevação de privilégios - como instalação ou atualização de aplicativos - permitindo que desenvolvedores solicitem credenciais administrativas de forma padronizada. A vulnerabilidade fundamental dessa abordagem reside no fato de que a API não válida a origem do programa solicitante nem verifica sua integridade, tornando-se um vetor de abuso para adversários que conseguem fazer com que o usuário autorize a execução de código malicioso. Embora a Apple tenha marcado `AuthorizationExecuteWithPrivileges` como deprecated (obsoleta) na documentação oficial, a API permanece totalmente funcional nas versões mais recentes do macOS, incluindo versões recentes do sistema. Isso significa que qualquer aplicação - legítima ou maliciosa - pode invocar esse mecanismo para solicitar elevação de privilégios. O sistema operacional exibe um diálogo de autenticação padrão do macOS, pedindo ao usuário que insira sua senha de administrador, sem qualquer indicação de que o programa solicitante pode ser malicioso. Usuários habituados a autorizar prompts durante instalações de software são particularmente vulneráveis a esse tipo de engenharia social técnica. O abuso desta técnica é frequentemente combinado com [[t1036-masquerading|T1036 - Masquerading]], onde o adversário disfarça o binário malicioso como um programa legítimo e confiável - como um instalador de atualização de sistema, uma ferramenta de segurança conhecida ou um utilitário popular. Ao ver o prompt de credenciais associado a um nome de aplicativo familiar, o usuário tende a autorizar a operação sem suspeitar. Uma vez obtidos os privilégios de root, o adversário pode instalar malware persistente, modificar configurações do sistema, acessar arquivos protegidos e desabilitar mecanismos de segurança do macOS como Gatekeeper e SIP (System Integrity Protection). ## Como Funciona O mecanismo técnico da T1548.004 envolve a chamada direta à API de autorização do macOS. O processo adversarial ocorre nas seguintes etapas: **1. Invocação da API:** O código malicioso chama `AuthorizationExecuteWithPrivileges(auth, executablePath, options, arguments, commúnicationsPipe)`, onde `executablePath` aponta para o binário a ser executado com privilégios elevados. O parâmetro `auth` é um handle de autorização obtido previamente através de `AuthorizationCreaté`. **2. Apresentação do prompt:** O sistema macOS exibe automaticamente o diálogo de autenticação padrão (`SecurityAgent`), solicitando a senha do usuário. O diálogo mostra o nome do processo solicitante, que pode ser falsificado usando técnicas de mascaramento. **3. Execução privilegiada:** Após o usuário inserir as credenciais corretas, o sistema executa o binário específicado com privilégios de root. Não há verificação de assinatura de código, certificado de desenvolvedor ou integridade do binário por parte da API em si - a responsabilidade de válidação recai sobre o próprio processo chamador. **4. Abuso via arquivos modificáveis:** Uma variação da técnica envolve modificar arquivos com permissões de escrita globais (`world-writable`) que são utilizados por programas legítimos que fazem uso desta API. Se um aplicativo legítimo carrega scripts ou bibliotecas de diretórios com permissões inadequadas antes de chamar `AuthorizationExecuteWithPrivileges`, o adversário pode substituir esses arquivos por versões maliciosas. Quando o aplicativo legítimo é executado e eleva privilégios, o código malicioso é executado com root. **5. Persistência pós-escalada:** Com acesso root obtido, o adversário tipicamente instala um LaunchDaemon em `/Library/LaunchDaemons/` (persistência no nível de sistema, sobrevive a logout) ou instala um agente de persistência oculto, modifica arquivos do sistema e pode desabilitar proteções de segurança adicionais do macOS. O [[Shlayer]], um dos malwares mais prevalentes para macOS, exemplifica esse padrão: ele se disfarça como um instalador de Adobe Flash Player, apresenta ao usuário o prompt de autorização padrão do macOS e, após obter privilégios, instala adware, modifica configurações do Safari e desabilita proteções de Gatekeeper. ## Attack Flow ```mermaid graph TB A["Entrega do Payload<br/>(download / phishing)"] --> B["Mascaramento como<br/>App Legítimo<br/>(T1036)"] B --> C["Execução pelo Usuário<br/>do Instalador Falso"] C --> D["Invocação da API<br/>AuthorizationExecuteWithPrivileges"] D --> E["Prompt de Senha<br/>Apresentado ao Usuário"] E --> F{"Usuário<br/>Autoriza?"} F -->|"Sim"| G["Execução com<br/>Privilégios Root"] F -->|"Não"| H["Ataque Abortado /<br/>Tenta Novamente"] G --> I["Instalação de<br/>Persistência<br/>(LaunchDaemon)"] I --> J["Desabilitação de<br/>Gatekeeper / SIP"] J --> K["Exfiltração de Dados /<br/>Instalação de Backdoor"] ``` ## Exemplos de Uso **OSX/Shlayer:** O [[Shlayer]] é o exemplo mais documentado de abuso desta técnica em larga escala. Distribuído principalmente através de resultados de busca envenenados (SEO poisoning) e sites de streaming ilegais, o malware se apresenta como uma atualização necessária do Adobe Flash Player. Ao ser executado, invoca `AuthorizationExecuteWithPrivileges` para obter root, desabilita verificações de Gatekeeper via `spctl --master-disable`, e instala múltiplas variantes de adware. Entre 2018 e 2021, foi identificado como a família de malware macOS mais detectada por múltiplos fabricantes de segurança, afetando tanto usuários domésticos quanto corporativos. **Dok Malware:** O malware [[s0281-dok|Dok]], identificado em 2017, utilizou esta técnica em conjunto com certificados de desenvolvedor Apple legítimos (posteriormente revogados) para escapar da detecção do Gatekeeper. Após obter privilégios root via prompt de autenticação, instalou um proxy malicioso para interceptar tráfego HTTPS, incluindo credenciais bancárias, aproveitando-se do modelo de confiança de certificados do macOS. **Campanhas de Espionagem em macOS:** Grupos de APT com interesse em alvos corporativos e governamentais que utilizam macOS - incluindo setores de tecnologia, mídia e diplomacia - têm desenvolvido implantes específicos para a plataforma que abusam desta API. A baixa maturidade de monitoramento em ambientes macOS corporativos no Brasil e na LATAM torna essa técnica especialmente eficaz nessa região. ## Detecção ```yaml title: macOS AuthorizationExecuteWithPrivileges Abuse status: experimental description: > Detecta processos macOS que invocam AuthorizationExecuteWithPrivileges a partir de locais não confiáveis ou associados a aplicações não assinadas, potencialmente indicando abuso para escalada de privilégios. logsource: category: process_creation product: macos detection: selection: EventID: 1 CommandLine|contains: - 'AuthorizationExecuteWithPrivileges' ParentImage|startswith: - '/var/folders/' - '/tmp/' - '/Users/*/Downloads/' filter_known_legit: Image|startswith: - '/Applications/Adobe' - '/Applications/Microsoft' - '/usr/sbin/' condition: selection and not filter_known_legit falsepositives: - Instaladores legítimos de software de terceiros - Ferramentas de administração de sistemas level: high tags: - attack.privilege_escalation - attack.t1548.004 ``` ```yaml title: macOS Gatekeeper Disabled After Privilege Elevation status: experimental description: > Detecta desabilitação do Gatekeeper via spctl imediatamente após execução com privilégios elevados, padrão típico de malware macOS como Shlayer. logsource: category: process_creation product: macos detection: selection: Image: '/usr/sbin/spctl' CommandLine|contains: - '--master-disable' - '--disable' condition: selection falsepositives: - Administradores de sistemas desabilitando Gatekeeper para testes level: critical tags: - attack.privilege_escalation - attack.t1548.004 - attack.defense_evasion ``` **Estrategias complementares de detecção:** - Monitorar invocações da API `AuthorizationExecuteWithPrivileges` via Endpoint Security Framework (ESF) do macOS - Habilitar Unified Logging e filtrar eventos `com.apple.Authorization` para rastrear prompts de elevação - Utilizar OpenBSM auditoria (`/etc/security/audit_control`) para logar execuções privilegiadas - Monitorar criação de novos LaunchDaemons em `/Library/LaunchDaemons/` por processos não pertencentes a instaladores conhecidos - Implementar EDR com suporte a macOS (Jámf Protect, CrowdStrike Falcon, SentinelOne) para detecção comportamental ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | [[m1038-execution-prevention\|M1038]] | Execution Prevention | Implementar controles de aplicação via macOS MDM para bloquear execução de aplicativos não assinados ou não distribuídos pela App Store | | [[m1026-privileged-account-management\|M1026]] | Privileged Account Management | Minimizar o número de usuários com privilégios administrativos locais; usar contas padrão para uso diário | | [[m1017-user-training\|M1017]] | User Training | Treinar usuários para questionar prompts de credenciais inesperados e verificar a origem de instaladores antes de autorizar elevações | | [[m1022-restrict-file-and-directory-permissions\|M1022]] | Restrict File and Directory Permissions | Eliminar arquivos e diretórios com permissões de escrita global (`world-writable`) que possam ser aproveitados por programas que usam esta API | ## Contexto Brasil/LATAM O macOS ganhou participação de mercado significativa no Brasil nos últimos anos, especialmente em empresas de tecnologia, startups, agências criativas e no setor financeiro (fintechs). Estimativas do setor indicam que a adoção de Macs em ambientes corporativos brasileiros cresceu substancialmente desde 2020, impulsionada por políticas BYOD e pela preferência de desenvolvedores pela plataforma. Essa expansão cria um vetor de ataque relevante que muitas organizações brasileiras ainda não endereçam adequadamente: enquanto a infraestrutura de segurança (EDR, SIEM, SOC) é frequentemente dimensionada para Windows, os endpoints macOS permanecem monitorados de forma deficiente ou inexistente. Grupos de crime cibernético latino-americanos, historicamente focados em Windows, têm expandido suas capacidades para macOS à medida que a plataforma se torna mais prevalente em alvos de alto valor. O modelo de distribuição via SEO poisoning - comum para [[Shlayer]] e variantes - é particularmente eficaz no Brasil, onde termos de busca relacionados a streaming de conteúdo e software pirata geram alto tráfego. Usuários que buscam versões gratuitas de software pago são frequentemente redirecionados a instaladores falsos que abusam desta técnica. A combinação de alta prevalência de pirataria de software, baixa consciência de segurança para macOS e monitoramento insuficiente cria condições favoráveis para ataques baseados em T1548.004 no contexto regional. ## Referências - [[Shlayer]] - Malware macOS que abusa desta técnica - [[s0281-dok|Dok Malware]] - Interceptador de tráfego HTTPS via elevação de privilégios - [[t1036-masquerading|T1548.004 frequentemente combinado com T1036 - Masquerading]] - [[t1548-003-sudo-and-sudo-caching|T1548.003 - Sudo and Sudo Caching]] - Técnica irmã para Linux/macOS - [[m1038-execution-prevention|M1038 - Execution Prevention]] - [[t1548-abuso-de-mecanismos-de-controle-de-elevação|T1548 - Abuse Elevation Control Mechanism]] (técnica pai) --- *Técnica pai: [[t1548-abuso-de-mecanismos-de-controle-de-elevação|T1548 - Abuse Elevation Control Mechanism]]* *Fonte: [MITRE ATT&CK - T1548.004](https://attack.mitre.org/techniques/T1548/004)*