Техника на mitre.org

T1134: Манипуляции с токенами доступа

Злоумышленники могут изменить токены доступа для выполнения операций от лица другого пользователя или в контексте безопасности SYSTEM, а также для обхода ограничений доступа. В Windows токены доступа используются для определения прав владения запущенными процессами. Манипулируя токенами доступа, пользователь может сделать так, что запущенный процесс будет выглядеть, как будто у него другой родительский процесс или как будто он принадлежит другому пользователю, а не тому, кто его запустил. В этом случае процесс также получит контекст безопасности, связанный с новым токеном.

Злоумышленник может использовать встроенные функции API Windows для копирования токенов доступа из существующих процессов; это называется кражей токенов. Затем эти токены могут быть применены к существующему процессу (Кража токена и имперсонация) или использованы для создания нового процесса (Создание процесса с помощью токена). Для кражи токена злоумышленник должен находиться в контексте привилегированного пользователя (администратора). Однако злоумышленники обычно используют кражу токенов, чтобы повысить свой контекст безопасности с уровня администратора до уровня SYSTEM. Затем злоумышленник может использовать этот токен для аутентификации на удаленной системе от имени соответствующей ему учетной записи, если у этой учетной записи есть соответствующие разрешения на удаленной системе.

Любой стандартный пользователь может использовать команду runas и функции API Windows для создания токенов имперсонации; для этого не требуется доступ к учетной записи администратора. Существуют и другие механизмы — например, поля Active Directory, которые можно использовать для изменения токенов доступа.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

yandex_cloud: PT-CR-1255: Yandex_Cloud_Identity_Federation_Certificate_Creation: Пользователь добавил сертификат в федерацию удостоверений hacking_tools: PT-CR-1355: Sliver_GetSystem: Удаленное выполнение команды Sliver GetSystem из С2 фреймворка Sliver

Подтехники

Способы обнаружения

ID	DS0026	Источник и компонент данных	Active Directory: Изменение объекта Active Directory	Описание	Отслеживайте изменения в настройках AD, которые могут изменить токены доступа для выполнения операций с системными привилегиями или привилегиями другого пользователя, а также для обхода ограничений доступа.

ID	DS0009	Источник и компонент данных	Процесс: Вызовы API ОС	Описание	Отслеживайте вызовы API, связанные с манипуляцией токенами, тщательно анализируя действия пользователя, изучая запущенные процессы и сопоставляя эту информацию с другими событиями в конечной системе и сети. Аналитики также могут отслеживать использование таких API Windows, как `CreateProcessWithTokenW`, и сопоставлять эту активность с другими подозрительными действиями, чтобы снизить количество ложных срабатываний, вызванных обычным легитимным использованием пользователями и администраторами.

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для манипулирования токенами, посредством аудита процессов командной строки. В частности, отслеживайте запуск команды runas или подобные артефакты. В Windows подробное журналирование процессов командной строки по умолчанию отключено.

ID	DS0002	Источник и компонент данных	Учетная запись пользователя: Метаданные учетной записи	Описание	Отслеживайте контекстные данные учетных записей (имя и идентификатор пользователя, данные о среде и т. п.), с помощью которых могут быть изменены токены доступа для выполнения операций с системными привилегиями или привилегиями другого пользователя, а также для обхода ограничений доступа.

ID	DS0009	Источник и компонент данных	Процесс: Метаданные процесса	Описание	Запрашивайте у системы данные о процессах и токенах потока, отслеживайте несоответствия, например, когда пользователь оказывается владельцем процессов, имитирующих учетную запись Local System. Отслеживайте несоответствия в полях, содержащих данные о PPID, таких как EventHeader ProcessId в данных трассировки событий Windows (ETW), Creator Process ID/Name в журналах событий Windows, а также ProcessID и ParentProcessID, предоставляемые ETW и другими утилитами, такими как Диспетчер задач и Process Explorer. Поле EventHeader ProcessId, предоставленное ETW, указывает на фактический родительский процесс.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте запуск новых процессов, которые могут изменить токены доступа для выполнения операций с системными привилегиями или привилегиями другого пользователя, а также для обхода ограничений доступа.

ID	Источник и компонент данных	Описание
DS0026	Active Directory: Изменение объекта Active Directory	Отслеживайте изменения в настройках AD, которые могут изменить токены доступа для выполнения операций с системными привилегиями или привилегиями другого пользователя, а также для обхода ограничений доступа.
DS0009	Процесс: Вызовы API ОС	Отслеживайте вызовы API, связанные с манипуляцией токенами, тщательно анализируя действия пользователя, изучая запущенные процессы и сопоставляя эту информацию с другими событиями в конечной системе и сети. Аналитики также могут отслеживать использование таких API Windows, как `CreateProcessWithTokenW`, и сопоставлять эту активность с другими подозрительными действиями, чтобы снизить количество ложных срабатываний, вызванных обычным легитимным использованием пользователями и администраторами.
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для манипулирования токенами, посредством аудита процессов командной строки. В частности, отслеживайте запуск команды runas или подобные артефакты. В Windows подробное журналирование процессов командной строки по умолчанию отключено.
DS0002	Учетная запись пользователя: Метаданные учетной записи	Отслеживайте контекстные данные учетных записей (имя и идентификатор пользователя, данные о среде и т. п.), с помощью которых могут быть изменены токены доступа для выполнения операций с системными привилегиями или привилегиями другого пользователя, а также для обхода ограничений доступа.
DS0009	Процесс: Метаданные процесса	Запрашивайте у системы данные о процессах и токенах потока, отслеживайте несоответствия, например, когда пользователь оказывается владельцем процессов, имитирующих учетную запись Local System. Отслеживайте несоответствия в полях, содержащих данные о PPID, таких как EventHeader ProcessId в данных трассировки событий Windows (ETW), Creator Process ID/Name в журналах событий Windows, а также ProcessID и ParentProcessID, предоставляемые ETW и другими утилитами, такими как Диспетчер задач и Process Explorer. Поле EventHeader ProcessId, предоставленное ETW, указывает на фактический родительский процесс.
DS0009	Процесс: Создание процесса	Отслеживайте запуск новых процессов, которые могут изменить токены доступа для выполнения операций с системными привилегиями или привилегиями другого пользователя, а также для обхода ограничений доступа.

Меры противодействия

ID	M1018	Название	Управление учетными записями	Описание	Чтобы полноценно воспользоваться этой техникой, злоумышленник должен иметь доступ к локальной системе на уровне администратора. Ограничьте доступ пользователей и учетных записей минимальным необходимым уровнем.

ID	M1026	Название	Управление привилегированными учетными записями	Описание	Ограничьте права, чтобы пользователи и группы пользователей не могли создавать токены. Этот параметр должен быть определен только для локальной системной учетной записи. GPO: Конфигурация компьютера > [Политики] > Параметры Windows > Параметры безопасности > Локальные политики > Назначение прав пользователей: Создание объекта токена . Также определите, кто может создавать токен уровня процесса только для локальной и сетевой службы с помощью GPO: Конфигурация компьютера > [Политики] > Параметры Windows > Параметры безопасности > Локальные политики > Назначение прав пользователей: Замена токена уровня процесса. Администраторы должны входить в систему как обычный пользователь, но запускать свои инструменты с правами администратора, используя встроенную команду для манипуляций с токенами доступа `runas`.

ID	Название	Описание
M1018	Управление учетными записями	Чтобы полноценно воспользоваться этой техникой, злоумышленник должен иметь доступ к локальной системе на уровне администратора. Ограничьте доступ пользователей и учетных записей минимальным необходимым уровнем.
M1026	Управление привилегированными учетными записями	Ограничьте права, чтобы пользователи и группы пользователей не могли создавать токены. Этот параметр должен быть определен только для локальной системной учетной записи. GPO: Конфигурация компьютера > [Политики] > Параметры Windows > Параметры безопасности > Локальные политики > Назначение прав пользователей: Создание объекта токена . Также определите, кто может создавать токен уровня процесса только для локальной и сетевой службы с помощью GPO: Конфигурация компьютера > [Политики] > Параметры Windows > Параметры безопасности > Локальные политики > Назначение прав пользователей: Замена токена уровня процесса. Администраторы должны входить в систему как обычный пользователь, но запускать свои инструменты с правами администратора, используя встроенную команду для манипуляций с токенами доступа `runas`.