T1134.001: Кража токена и имперсонация

Злоумышленник может создать копию существующего токена другого пользователя, чтобы повысить привилегии и обойти контроль доступа. Например, злоумышленник может создать копию существующего токена с помощью функции DuplicateToken или DuplicateTokenEx. Затем токен может быть использован в функции ImpersonateLoggedOnUser, что позволит вызывающему потоку выполнить имперсонацию контекста безопасности вошедшего в систему пользователя, или в функции SetThreadToken, чтобы назначить дублируемый токен потоку.

Злоумышленник может использовать технику Кража токена и имперсонация, если у него есть определенный процесс, которому он хочет назначить копию токена. Например, это может потребоваться, когда у целевого пользователя несетевой сеанс входа в систему.

Если злоумышленник хочет использовать копию токена для создания нового процесса, а не для присоединения к существующему, он может дополнительно создать процесс с помощью токена, используя функцию CreateProcessWithTokenW или CreateProcessAsUserW. Техника Кража токена и имперсонация отличается от техники Создание токена и имперсонация тем, что она дублирует существующий токен, а не создает новый.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

vulnerabilities: PT-CR-829: Certified_Priv_Esc_CVE_2022_26923: Привилегии в домене повышены через уязвимость CVE-2022-26923 в службах сертификатов Active Directory mitre_attck_privilege_escalation: PT-CR-864: Token_Manipulation: Обнаружена операция повышения привилегий с помощью токенов mitre_attck_privilege_escalation: PT-CR-853: RoguePotato_PrivEsc: Привилегии повышены с помощью техники RoguePotato mitre_attck_privilege_escalation: PT-CR-1217: RasMan_Potato: Обнаружено локальное повышение привилегий от служебной учетной записи до прав SYSTEM с помощью техники RasmanPotato mitre_attck_privilege_escalation: PT-CR-1933: GodPotato_PrivEsc: Повышение привилегий с помощью техники GodPotato позволяет злоумышленнику с привилегией ImpersonatePrivilege повысить свои права до пользователя System. После этого злоумышленник может извлечь со компрометированного узла учетные данные к различным сервисам локальных пользователей, а в некоторых случаях и других пользователей, получавших доступ к данному узлу. Использование этих данных позволит злоумышленнику горизонтально переместиться (Lateral Movement) на другие узлы инфраструктуры. mitre_attck_privilege_escalation: PT-CR-848: Named_Pipe_Impersonation_PrivEsc: Привилегии повышены с помощью техники Named Pipe Impersonation mitre_attck_privilege_escalation: PT-CR-1212: PrintNotify_Potato: Привилегии служебной учетной записи повышены с помощью техники PrintNotifyPotato mitre_attck_cred_access: PT-CR-1363: Masky_Tool_Usage: Обнаружение использования инструмента Masky, предназначенного для получения NT-хешей и TGT пользователей, работающих на атакованных узлах, для запроса сертификатов от их имени hacking_tools: PT-CR-2134: SharpToken_Usage: Использован инструмент SharpToken, который ищет утечки токенов во всех процессах системы и эксплуатирует их. Если злоумышленники получили доступ к учетной записи с низким уровнем привилегий, этот инструмент позволит им повысить привилегии до "NT AUTHORITY\SYSTEM". Также с помощью SharpToken можно захватить интерактивный сеанс пользователя hacking_tools: PT-CR-753: Cobalt_Strike_RunAs_Escalate: С помощью Cobalt Strike выполнена команда "RunAs" для повышения привилегий

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Отслеживайте вызовы API (такие как DuplicateToken(Ex), ImpersonateLoggedOnUser и SetThreadToken), связанные с другими подозрительными действиями, чтобы снизить количество ложных срабатываний, вызванных обычным легитимным использованием пользователями и администраторами.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для манипулирования токенами, посредством аудита процессов командной строки. В частности, отслеживайте запуск команды runas. В Windows подробное журналирование процессов командной строки по умолчанию отключено.

Меры противодействия

IDM1018НазваниеУправление учетными записямиОписание

Чтобы полноценно воспользоваться этой техникой, злоумышленник должен иметь доступ к локальной системе на уровне администратора. Ограничьте доступ пользователей и учетных записей минимально необходимым уровнем.

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Ограничьте права, чтобы пользователи и группы пользователей не могли создавать токены. Этот параметр должен быть определен только для локальной системной учетной записи. GPO: Конфигурация компьютера > [Политики] > Конфигурация Windows > Параметры безопасности > Локальные политики > Назначение прав пользователя > Создание маркерного объекта . Также определите, кто может создавать токен уровня процесса только для локальной и сетевой службы с помощью GPO: Конфигурация компьютера > [Политики] > Конфигурация Windows > Параметры безопасности > Локальные политики > Назначение прав пользователя > Замена маркера уровня процесса.

Администраторы должны входить в систему как обычные пользователи, но запускать свои инструменты с правами администратора, используя встроенную команду для манипуляций с токенами доступа runas.