Por Cleriston Freitas: O Controle de Conta de Usuário (UAC) do Windows é uma camada essencial de proteção, exigindo sua permissão para ações que modificam o sistema. Mas e se um atacante pudesse contornar essa barreira sem que você perceba? Essa é a engenhosidade por trás da evasão de UAC via “pastas simuladas” – uma técnica que utiliza diretórios que imitam os confiáveis do sistema para executar códigos maliciosos com privilégios administrativos.

Neste artigo, aprofundaremos o conceito de pastas simuladas, como elas são exploradas para contornar as defesas do UAC e os setores mais afetados, além das estratégias e ferramentas essenciais para sua detecção e mitigação.

A estratégia do adversário: entendendo a evasão de UAC por pastas simuladas

A evolução dos ataques cibernéticos tem ampliado os riscos para organizações de todos os setores. Uma tática notável é a execução de comandos com privilégios elevados sem a autorização do usuário, o que representa uma séria vulnerabilidade.

Essa prática, amplamente adotada por agentes maliciosos, explora brechas em componentes nativos do sistema, dificultando a detecção por soluções de segurança tradicionais. Muitos desses ataques ocorrem sem interação do usuário, reforçando a importância de controles proativos e inteligência aplicada à defesa.

Vitimologia e segmentos afetados

Embora qualquer organização com infraestrutura Windows esteja potencialmente exposta, independentemente de porte ou setor, alguns segmentos são mais visados:

• Financeiro: Bancos e fintechs são alvos preferenciais devido ao alto valor dos dados transacionados e à possibilidade de monetização rápida.
• Governo e Setor Público: Órgãos de infraestrutura crítica, justiça e inteligência são explorados por campanhas estratégicas ou geopolíticas.
• Saúde: Hospitais e empresas de tecnologia médica enfrentam riscos elevados devido ao sigilo dos dados.
• Educação e Pesquisa: Universidades e centros acadêmicos são visados por suas estruturas tecnológicas amplas e, muitas vezes, heterogêneas.
• Tecnologia e Engenharia: Alvos por propriedade intelectual, projetos sensíveis e acesso a sistemas de terceiros.

Ferramentas e ameaças associadas a essa técnica incluem:

• WarzoneRAT: Utiliza componentes nativos como sdclt.exe para contornar o UAC no Windows 10, sendo distribuído via phishing e usado por grupos como o Confucius APT.
• Sliver C2: Um framework legítimo de Red Teaming que oferece funcionalidades de bypass de UAC, também explorado por agentes ofensivos.
• Silver RAT: Um trojan em C# com suporte a técnicas de elevação silenciosa, evasão de antivírus e execução de payloads com privilégios administrativos.

A capacidade de mascarar ações maliciosas sob processos legítimos torna essa ameaça altamente eficaz e de difícil detecção.

Tática: como funciona o ataque

O UAC (User Account Control) é um componente de segurança do Windows que restringe a execução de tarefas administrativas, protegendo o sistema contra alterações não autorizadas. Ele atua como uma camada de controle, exigindo confirmação explícita para ações privilegiadas, como modificações nas configurações do sistema, instalação de softwares ou alterações no registro em áreas protegidas.

Seu objetivo principal é garantir que apenas usuários autorizados elevem permissões, reduzindo riscos de execução silenciosa de código malicioso. No entanto, o UAC não é uma barreira de segurança absoluta, e existem técnicas para contorná-lo.

O que são pastas simuladas no Windows?

As Mock Trusted Folders, ou pastas simuladas, são diretórios criados para imitar pastas legítimas e confiáveis do sistema Windows. Essa técnica é usada para enganar aplicações ou processos que verificam a origem dos arquivos antes de executá-los com privilégios elevados.

Uma pasta simulada é uma cópia controlada de um diretório legítimo, com pequenas alterações, como a adição de um espaço no nome (ex: C:\Windows \System32). Embora semelhante na aparência, ela não possui os mesmos controles de segurança, permitindo a execução de binários maliciosos sob uma falsa aparência de confiabilidade.

Essa técnica pode burlar verificações de integridade e é observada em campanhas maliciosas para evadir controles de segurança.

Sobre o ataque de evasão de UAC

A técnica de pastas simuladas pode ser usada para evasão do UAC, permitindo a execução de código com privilégios administrativos sem disparar alertas ao usuário. Isso explora a confiança do sistema em diretórios como C:\Windows\System32, redirecionando a execução para versões controladas por atacantes.

O ataque envolve:

• Identificar um executável legítimo com autoelevação;
• Explorar esse binário para carregar uma DLL manipulada, geralmente posicionada em uma pasta simulada.

Para que a autoelevação ocorra, três critérios precisam ser atendidos:

1. Verificação da chave autoElevate
2. Assinatura digital válida
3. Localização em diretório confiável

Um exemplo real é o malware DBatLoader, que utiliza essa técnica para contornar mecanismos de segurança e executar payloads com privilégios administrativos.

Operacional: emulação e detecção

Emulação do ataque

Para emular o ataque, os três requisitos mencionados devem ser atendidos. É fácil encontrar executáveis com autoelevação, pois vários são conhecidos na lista de permissões, como winsat.exe, mmc.exe e easinvoker.exe, sendo este último utilizado no ataque simulado.

É crucial identificar as DLLs carregadas pelo executável. No caso do easinvoker.exe, uma das DLLs carregadas é a netutils.dll. Para criar uma DLL maliciosa, é preciso entender sua implementação e requisitos.

O executável-alvo, como easinvoker.exe, deve ser assinado por uma fonte confiável. O easinvoker.exe é assinado pela Microsoft.

O terceiro requisito é executar o programa em um diretório confiável. Como a pasta original exige privilégios elevados, a técnica da pasta simulada é empregada. Esses executáveis geralmente carregam DLLs apenas de diretórios confiáveis (ex: C:\Windows\System32). Para contornar essa restrição, o adversário cria uma pasta simulada, como C:\Windows \System32\, explorando falhas na validação do caminho.

Métodos de detecção

A detecção desse tipo de ataque pode ser eficaz se os logs adequados estiverem habilitados. O adversário geralmente cria uma pasta falsa que imita um diretório confiável, mas com uma alteração sutil, como um espaço no nome (ex: C:\Windows \System32).

• Evento 4688 (Criação de novo processo): Ao habilitar a auditoria de processos no Windows, é possível monitorar o evento 4688, que registra informações detalhadas, incluindo a linha de comando utilizada para invocar executáveis. Isso permite rastrear execuções maliciosas.
• Evento 11 do Sysmon: Este evento monitora a criação de arquivos. A mesma estratégia do evento 4688 pode ser aplicada: observar a criação de arquivos em diretórios confiáveis que contenham um espaço extra no nome. Esse comportamento pode indicar o uso de uma pasta simulada para evasão de UAC.

Tabela MITRE ATT&CK

A tabela a seguir apresenta as Táticas, Técnicas e Procedimentos (TTPs) identificados nesta ameaça, conforme o framework MITRE ATT&CK, fornecendo uma visão tática detalhada sobre o comportamento do adversário:

Tática	Técnica	Detalhes
Privilege Escalation	Defense Evasion: T1548.003 – Abuse Elevation Control Mechanism: Bypass User Account Control	Adversários podem contornar os mecanismos do UAC para elevar privilégios de processo no sistema.

Recomendações de segurança: saiba como se proteger

Para mitigar a ameaça de evasão de UAC via pastas simuladas, a ISH recomenda as seguintes medidas:

• Adotar políticas rígidas de controle de privilégios: Implemente o princípio do menor privilégio, garantindo que usuários e aplicações só tenham acesso ao necessário para suas funções.
• Rever continuamente os controles de elevação de privilégio: Audite as configurações do UAC em estações e servidores, priorizando o nível mais restritivo possível (ex: “Sempre notificar”).
• Sensibilizar usuários e equipes técnicas: Capacite equipes de TI e usuários sobre os riscos de engenharia social, executáveis maliciosos disfarçados e comportamentos suspeitos.
• Monitorar binários com autoelevação conhecidos: Crie regras de detecção para a execução incomum de arquivos como fodhelper.exe, cmstp.exe, sdclt.exe, easinvoker.exe, eventvwr.exe, entre outros.
• Auditar diretórios críticos com atenção a variações sutis: Identifique e alerte sobre execuções vindas de caminhos simulados (ex: C:\Windows \System32 com espaço extra).
• Habilitar a auditoria do Evento 4688 (Criação de Processo) com linha de comando detalhada, permitindo rastrear execuções maliciosas por meio de scripts ou carregamento de DLLs não autorizadas.
• Utilizar Sysmon com regras específicas para:
  • Monitoramento de processos elevados sem prompt de UAC.
  • Cargas suspeitas em netutils.dll, printui.dll, comctl32.dll, etc.
  • Execução de binários autoelevados em diretórios anômalos.
• Restringir permissões de escrita em diretórios de sistema com políticas de GPO ou ferramentas de hardening para impedir a substituição de DLLs.
• Validar assinaturas digitais de executáveis antes de permitir a elevação automática de privilégios no endpoint.

Para além do UAC: uma visão abrangente da segurança proativa

A evasão de UAC via pastas simuladas é uma ameaça real e significativa. Adversários exploram a confiança do sistema para escalar privilégios de forma invisível, comprometendo a base da segurança de seus ambientes. A fragilidade reside, muitas vezes, em detalhes que podem ser explorados por binários aparentemente inofensivos e falhas de validação.

Diante disso, a mensagem é clara: a segurança robusta exige vigilância constante e ação estratégica. Implementar o princípio do menor privilégio, realizar auditorias de eventos de sistema sem interrupção e monitorar ativamente qualquer comportamento anômalo são as pedras angulares para uma defesa eficaz. A inteligência sobre ameaças como as pastas simuladas, combinada com a aplicação de controles técnicos precisos, é indispensável.

Organizações que priorizam a detecção precoce, a educação de seus times e o fortalecimento de seus endpoints não apenas se protegem, mas se tornam resilientes. Fale com nossos consultores para se preparar para os desafios de segurança de hoje e construa um futuro digital mais seguro.