# T1548 - Abuse Elevation Control Mechanism ## Descrição A técnica **T1548 - Abuse Elevation Control Mechanism** descreve o conjunto de métodos pelos quais adversários subvertem os mecanismos de controle de elevação de privilégios presentes em sistemas operacionais modernos para obter permissões de nível superior. A maioria dos sistemas operacionais atuais - Windows, Linux, macOS e ambientes de nuvem - implementa controles nativos que limitam as ações que um usuário pode executar sem autorização explícita. Esses controles foram projetados para reduzir a superfície de ataque, garantindo que apenas processos autorizados possam realizar operações sensíveis como instalação de software, modificação de configurações de segurança ou acesso a arquivos protegidos do sistema. Adversários que conseguem acesso inicial a um sistema com privilégios limitados frequentemente tentam escalar para contas administrativas ou de sistema (SYSTEM/root) para maximizar seu impacto. A técnica T1548 é uma categoria-pai que agrupa múltiplas sub-técnicas, cada uma explorando um mecanismo de controle específico: o **UAC do Windows** ([[t1548-002-bypass-user-account-control|T1548.002]]), os bits **SUID/SGID do Linux** ([[t1548-001-setuid-and-setgid|T1548.001]]), o cache de credenciais do **sudo no Unix** ([[t1548-003-sudo-and-sudo-caching|T1548.003]]), prompts de autenticação em macOS ([[t1548-004-elevated-execution-with-prompt|T1548.004]]), o framework de privacidade **TCC** do macOS ([[t1548-006-tcc-manipulation|T1548.006]]) e elevação temporária em ambientes de nuvem ([[t1548-005-temporary-elevated-cloud-access|T1548.005]]). O impacto operacional é significativo: ao abusar desses mecanismos, o adversário pode executar código malicioso com permissões elevadas sem acionar alertas de segurança ou prompts de confirmação visíveis ao usuário. Isso permite instalar malware persistente, desabilitar ferramentas de defesa (EDR, antivírus), acessar credenciais armazenadas e mover-se lateralmente pela rede com maior facilidade. O grupo [[g1048-unc3886|UNC3886]], por exemplo, foi documentado utilizando abuso de mecanismos de elevação em ataques a infraestruturas virtualizadas VMware para comprometer hipervisores ESXi sem detecção. ## Como Funciona Os mecanismos de controle de elevação existem em diferentes formas dependendo da plataforma. No **Windows**, o User Account Control (UAC) é o principal mecanismo: ele atribui níveis de integridade (Low, Medium, High, System) aos processos e exige confirmação do usuário para elevar um processo para High ou System. Atacantes descobriram centenas de formas de contornar o UAC - desde explorar binários auto-elevados do sistema (como `eventvwr.exe`, `fodhelper.exe`, `wsreset.exe`) que não exibem prompts de confirmação, até manipular entradas de registro COM/CLSID para redirecionar chamadas de objetos COM elevados para payloads maliciosos. No **Linux e Unix**, os bits SUID (Set User ID) e SGID (Set Group ID) permitem que um executável rode com os privilégios do proprietário do arquivo em vez do usuário que o executa. Atacantes abusam desses bits em binários vulneráveis ou mal configurados para executar código com privilégios de root. O cache de credenciais do `sudo` (controlado pelo arquivo `/etc/sudoers`) também é explorado: se um token de autenticação sudo ainda for válido (por padrão, 15 minutos no Linux), um adversário pode executar comandos privilegiados sem nova autenticação. No **macOS**, o framework TCC (Transparency, Consent, and Control) controla o acesso a recursos sensíveis como câmera, microfone e disco completo. Adversários manipulam o banco de dados TCC diretamente ou exploram aplicações já autorizadas para obter acesso a recursos protegidos sem acionar prompts. Em ambientes de **nuvem (IaaS)**, o abuso de mecanismos de elevação temporária - como AWS IAM AssumeRole, Azure Privileged Identity Management (PIM) ou GCP impersonation - permite que um adversário com credenciais de baixo privilégio assuma papéis de alto privilégio temporariamente para realizar ações administrativas. A característica comum a todas as sub-técnicas é a utilização de funcionalidades legítimas do sistema operacional de forma maliciosa, o que torna a detecção mais difícil: o tráfego e os logs gerados frequentemente se parecem com operações administrativas legítimas. ## Attack Flow ```mermaid graph TB A["Acesso Inicial<br/>Usuário padrão / sessão limitada"] --> B["Reconhecimento Local<br/>Identificar mecanismos de elevação disponíveis"] B --> C{"Selecionar Sub-técnica"} C --> D["Windows: Bypass UAC<br/>T1548.002"] C --> E["Linux: SUID/SUDO abuse<br/>T1548.001 / T1548.003"] C --> F["macOS: TCC Manipulation<br/>T1548.006"] C --> G["Cloud: Elevated Role Assumption<br/>T1548.005"] D --> H["Execução de Payload<br/>com Privilégios Elevados"] E --> H F --> H G --> H H --> I["Desabilitar Defesas<br/>EDR / AV / Logs"] I --> J["Persistência e Movimentação Lateral<br/>com Credenciais Administrativas"] ``` ## Sub-técnicas - [[t1548-001-setuid-and-setgid|T1548.001 - Setuid and Setgid]] - [[t1548-002-bypass-uac|T1548.002 - Abuse Elevation Control Mechanism: Bypass User Account Control]] - [[t1548-002-bypass-user-account-control|T1548.002 - Bypass User Account Control]] - [[t1548-003-sudo-and-sudo-caching|T1548.003 - Sudo and Sudo Caching]] - [[t1548-004-elevated-execution-with-prompt|T1548.004 - Elevated Execution with Prompt]] - [[t1548-005-temporary-elevated-cloud-access|T1548.005 - Temporary Elevated Cloud Access]] - [[t1548-006-tcc-manipulation|T1548.006 - TCC Manipulation]] ## Exemplos de Uso **UNC3886 - Ataques a Infraestrutura VMware (2023–2024):** O grupo [[g1048-unc3886|UNC3886]], associado à espionagem de estado chinês, foi documentado utilizando abuso de mecanismos de elevação em ambientes ESXi para implantar backdoors nos hipervisores. Após obter acesso inicial com credenciais de vCenter comprometidas, o grupo explorou vulnerabilidades de elevação de privilégios para comprometer o nível de sistema dos hosts ESXi, instalando malware como o VIRTUALPITA e VIRTUALPIE com persistência persistente na camada de virtualização - fora do alcance de EDRs tradicionais instalados nas VMs guest. **Grupos de Ransomware (LockBit, BlackCat/ALPHV, Cl0p):** Práticamente todos os principais grupos de ransomware que operam no Brasil e na América Latina utilizam alguma forma de bypass UAC como parte de sua cadeia de ataque. Após comprometer um endpoint via phishing ou exploração de VPN, eles executam loaders como [[s0154-cobalt-strike|Cobalt Strike]] ou [[darkgaté|DarkGaté]] que implementam bypass UAC para elevar privilégios antes de desabilitar o Windows Defender e implantar o ransomware com permissões de SYSTEM. **MuddyWater - Campanha Médio Oriente/LATAM (2022):** O grupo [[g0069-mango-sandstorm|MuddyWater]], de origem iraniana, foi observado combinando T1548 com técnicas de [[t1059-001-powershell|PowerShell]] para escalar privilégios em endpoints Windows de organizações governamentais e de telecomúnicações, incluindo alvos em países da América Latina. O grupo utilizou bypass via `fodhelper.exe` para executar payload com alto nível de integridade sem alertar o usuário. ## Detecção ### Fontes de Dados Recomendadas - **Process Creation**: Monitorar criação de processos com `IntegrityLevel=High/System` originados de processos com `IntegrityLevel=Medium` - **Windows Event Log**: Event ID 4688 (criação de processo com linha de comando), 4672 (privilégios especiais atribuídos), 4673 (operação privilegiada tentada) - **Registry Monitoring**: Chaves sob `HKCU\Software\Classes\` usadas em bypasses COM; `HKCU\Environment\windir` e similares - **File System**: Modificações em `/etc/sudoers` e caches sudo em Linux; banco de dados TCC em macOS - **Sysmon**: Event ID 10 (ProcessAccess), 12/13/14 (RegistryEvent) para Windows ```yaml title: Possible UAC Bypass via Registry Hijacking status: experimental logsource: category: registry_set product: windows detection: selection_key: TargetObject|contains: - 'HKCU\Software\Classes\ms-settings\Shell\Open\command' - 'HKCU\Software\Classes\mscfile\Shell\Open\command' - 'HKCU\Environment\windir' selection_suspicious: Details|contains: - 'powershell' - 'cmd.exe' - 'wscript' - 'mshta' - 'rundll32' condition: selection_key and selection_suspicious level: high tags: - attack.privilege_escalation - attack.defense_evasion - attack.t1548 - attack.t1548.002 falsepositives: - Administradores legítimos modificando associações de arquivos - Software de gerenciamento corporativo ``` ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | [[m1052-user-account-control\|M1052]] | User Account Control | Configurar UAC para nível máximo ("Always Notify"); impede a maioria dos bypasses automáticos | | [[m1026-privileged-account-management\|M1026]] | Privileged Account Management | Minimizar contas com privilégios administrativos locais; usar contas separadas para admin e uso diário | | [[m1038-execution-prevention\|M1038]] | Execution Prevention | Implementar AppLocker ou WDAC para bloquear execução de binários não autorizados | | [[m1028-operating-system-configuration\|M1028]] | Operating System Configuration | Configurar `/etc/sudoers` com `Defaults timestamp_timeout=0` para eliminar cache sudo | | [[m1022-restrict-file-and-directory-permissions\|M1022]] | Restrict File and Directory Permissions | Auditar e remover bits SUID/SGID desnecessários em Linux/macOS | | [[m1047-audit\|M1047]] | Audit | Auditoria regular de permissões, bits especiais, configurações sudoers e políticas IAM em nuvem | | [[m1051-update-software\|M1051]] | Updaté Software | Manter sistema operacional atualizado para eliminar vulnerabilidades conhecidas de elevação | | [[m1018-user-account-management\|M1018]] | User Account Management | Revisar e reduzir membros do grupo Administradores locais; aplicar princípio do menor privilégio | ## Contexto Brasil/LATAM A técnica T1548 é extremamente relevante no contexto brasileiro e latino-americano por diversas razões estruturais. Primeiramente, a alta taxa de uso de Windows desatualizado no Brasil - especialmente em pequenas e médias empresas, órgãos públicos municipais e estaduais - cria um ambiente fértil para bypasses de UAC que já foram corrigidos em versões mais recentes do sistema operacional. O CERT.br reporta consistentemente altos volumes de incidentes envolvendo escalada de privilégios em endpoints Windows em campanhas de ransomware direcionadas ao setor financeiro, saúde e governo. Grupos de ransomware como LockBit, BlackCat e Cl0p têm direcionado organizações brasileiras ativamente entre 2023 e 2025, e todos utilizam bypass UAC como componente padrão de seus implantes iniciais. O [[s0154-cobalt-strike|Cobalt Strike]] - ferramenta de C2 favorita desses grupos - possui módulos específicos para bypass UAC como `bypassuac`, `bypassuac_inject`, e `elevaté` que implementam várias sub-técnicas de T1548. Na América Latina, grupos como [[g0069-mango-sandstorm|MuddyWater]] (Irã), [[g0067-apt37|APT37]] (Coreia do Norte) e atores de espionagem chineses como [[g1048-unc3886|UNC3886]] têm interesse crescente em alvos governamentais, energéticos e de telecomúnicações da região. Ataques a infraestruturas críticas no Brasil (setor elétrico, petróleo e gás, bancos) frequentemente incluem T1548 como etapa obrigatória após o comprometimento inicial, antes da implantação de backdoors ou do início do movimento lateral. Organizações brasileiras devem priorizar a configuração adequada do UAC em nível máximo, auditoria de binários com SUID/SGID em ambientes Linux e revisão constante de políticas IAM em ambientes de nuvem AWS/Azure/GCP, que têm crescimento acelerado no país. ## Referências ### Sub-técnicas Relacionadas - [[t1548-002-bypass-user-account-control|T1548.002 - Bypass User Account Control]] - [[t1548-001-setuid-and-setgid|T1548.001 - Setuid and Setgid]] - [[t1548-003-sudo-and-sudo-caching|T1548.003 - Sudo and Sudo Caching]] - [[t1548-004-elevated-execution-with-prompt|T1548.004 - Elevated Execution with Prompt]] - [[t1548-005-temporary-elevated-cloud-access|T1548.005 - Temporary Elevated Cloud Access]] - [[t1548-006-tcc-manipulation|T1548.006 - TCC Manipulation]] ### Técnicas Relacionadas - [[t1055-process-injection|T1055 - Process Injection]] - [[t1078-valid-accounts|T1078 - Valid Accounts]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1218-011-rundll32|T1218.011 - Rundll32]] ### Threat Actors - [[g1048-unc3886|UNC3886]] - [[g0069-mango-sandstorm|MuddyWater]] - [[g0067-apt37|APT37]] - [[g0080-cobalt-group|Cobalt Group]] ### Malware Associado - [[s0154-cobalt-strike|Cobalt Strike]] - [[s1130-raspberry-robin|Raspberry Robin]] - [[darkgaté|DarkGaté]] ### Mitigações - [[m1052-user-account-control|M1052 - User Account Control]] - [[m1026-privileged-account-management|M1026 - Privileged Account Management]] - [[m1047-audit|M1047 - Audit]] --- *Fonte: [MITRE ATT&CK - T1548](https://attack.mitre.org/techniques/T1548)*