T1134.001: Кража токена и имперсонация
Злоумышленник может создать копию существующего токена другого пользователя, чтобы повысить привилегии и обойти контроль доступа. Например, злоумышленник может создать копию существующего токена с помощью функции DuplicateToken
или DuplicateTokenEx
. Затем токен может быть использован в функции ImpersonateLoggedOnUser
, что позволит вызывающему потоку выполнить имперсонацию контекста безопасности вошедшего в систему пользователя, или в функции SetThreadToken
, чтобы назначить дублируемый токен потоку.
Злоумышленник может использовать технику Кража токена и имперсонация, если у него есть определенный процесс, которому он хочет назначить копию токена. Например, это может потребоваться, когда у целевого пользователя несетевой сеанс входа в систему.
Если злоумышленник хочет использовать копию токена для создания нового процесса, а не для присоединения к существующему, он может дополнительно создать процесс с помощью токена, используя функцию CreateProcessWithTokenW
или CreateProcessAsUserW
. Техника Кража токена и имперсонация отличается от техники Создание токена и имперсонация тем, что она дублирует существующий токен, а не создает новый.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
vulnerabilities: PT-CR-829: Certified_Priv_Esc_CVE_2022_26923: Привилегии в домене повышены через уязвимость CVE-2022-26923 в службах сертификатов Active Directory mitre_attck_privilege_escalation: PT-CR-864: Token_Manipulation: Обнаружена операция повышения привилегий с помощью токенов mitre_attck_privilege_escalation: PT-CR-853: RoguePotato_PrivEsc: Привилегии повышены с помощью техники RoguePotato mitre_attck_privilege_escalation: PT-CR-1217: RasMan_Potato: Обнаружено локальное повышение привилегий от служебной учетной записи до прав SYSTEM с помощью техники RasmanPotato mitre_attck_privilege_escalation: PT-CR-1933: GodPotato_PrivEsc: Повышение привилегий с помощью техники GodPotato позволяет злоумышленнику с привилегией ImpersonatePrivilege повысить свои права до пользователя System. После этого злоумышленник может извлечь со компрометированного узла учетные данные к различным сервисам локальных пользователей, а в некоторых случаях и других пользователей, получавших доступ к данному узлу. Использование этих данных позволит злоумышленнику горизонтально переместиться (Lateral Movement) на другие узлы инфраструктуры. mitre_attck_privilege_escalation: PT-CR-848: Named_Pipe_Impersonation_PrivEsc: Привилегии повышены с помощью техники Named Pipe Impersonation mitre_attck_privilege_escalation: PT-CR-1212: PrintNotify_Potato: Привилегии служебной учетной записи повышены с помощью техники PrintNotifyPotato mitre_attck_cred_access: PT-CR-1363: Masky_Tool_Usage: Обнаружение использования инструмента Masky, предназначенного для получения NT-хешей и TGT пользователей, работающих на атакованных узлах, для запроса сертификатов от их имени hacking_tools: PT-CR-2134: SharpToken_Usage: Использован инструмент SharpToken, который ищет утечки токенов во всех процессах системы и эксплуатирует их. Если злоумышленники получили доступ к учетной записи с низким уровнем привилегий, этот инструмент позволит им повысить привилегии до "NT AUTHORITY\SYSTEM". Также с помощью SharpToken можно захватить интерактивный сеанс пользователя hacking_tools: PT-CR-753: Cobalt_Strike_RunAs_Escalate: С помощью Cobalt Strike выполнена команда "RunAs" для повышения привилегий
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Отслеживайте вызовы API (такие как DuplicateToken(Ex), ImpersonateLoggedOnUser и SetThreadToken), связанные с другими подозрительными действиями, чтобы снизить количество ложных срабатываний, вызванных обычным легитимным использованием пользователями и администраторами. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для манипулирования токенами, посредством аудита процессов командной строки. В частности, отслеживайте запуск команды runas. В Windows подробное журналирование процессов командной строки по умолчанию отключено. |
---|
Меры противодействия
ID | M1018 | Название | Управление учетными записями | Описание | Чтобы полноценно воспользоваться этой техникой, злоумышленник должен иметь доступ к локальной системе на уровне администратора. Ограничьте доступ пользователей и учетных записей минимально необходимым уровнем. |
---|
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Ограничьте права, чтобы пользователи и группы пользователей не могли создавать токены. Этот параметр должен быть определен только для локальной системной учетной записи. GPO: Конфигурация компьютера > [Политики] > Конфигурация Windows > Параметры безопасности > Локальные политики > Назначение прав пользователя > Создание маркерного объекта . Также определите, кто может создавать токен уровня процесса только для локальной и сетевой службы с помощью GPO: Конфигурация компьютера > [Политики] > Конфигурация Windows > Параметры безопасности > Локальные политики > Назначение прав пользователя > Замена маркера уровня процесса. Администраторы должны входить в систему как обычные пользователи, но запускать свои инструменты с правами администратора, используя встроенную команду для манипуляций с токенами доступа |
---|