T1134.001: Кража токена и имперсонация
Злоумышленник может создать копию существующего токена другого пользователя, чтобы повысить привилегии и обойти контроль доступа. Например, злоумышленник может создать копию существующего токена с помощью функции DuplicateToken
или DuplicateTokenEx
. Затем токен может быть использован в функции ImpersonateLoggedOnUser
, что позволит вызывающему потоку выполнить имперсонацию контекста безопасности вошедшего в систему пользователя, или в функции SetThreadToken
, чтобы назначить дублируемый токен потоку.
Злоумышленник может использовать технику Кража токена и имперсонация, если у него есть определенный процесс, которому он хочет назначить копию токена. Например, это может потребоваться, когда у целевого пользователя несетевой сеанс входа в систему.
Если злоумышленник хочет использовать копию токена для создания нового процесса, а не для присоединения к существующему, он может дополнительно создать процесс с помощью токена, используя функцию CreateProcessWithTokenW
или CreateProcessAsUserW
. Техника Кража токена и имперсонация отличается от техники Создание токена и имперсонация тем, что она дублирует существующий токен, а не создает новый.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_privilege_escalation: PT-CR-848: Named_Pipe_Impersonation_PrivEsc: Привилегии повышены с помощью техники Named Pipe Impersonation
vulnerabilities: PT-CR-829: Certified_Priv_Esc_CVE_2022_26923: Привилегии в домене повышены через уязвимость CVE-2022-26923 в службах сертификатов Active Directory
mitre_attck_privilege_escalation: PT-CR-853: RoguePotato_PrivEsc: Привилегии повышены с помощью техники RoguePotato
mitre_attck_privilege_escalation: PT-CR-864: Token_Manipulation: Обнаружена операция повышения привилегий с помощью токенов
hacking_tools: PT-CR-2134: SharpToken_Usage: Использован инструмент SharpToken, который ищет утечки токенов во всех процессах системы и эксплуатирует их. Если злоумышленники получили доступ к учетной записи с низким уровнем привилегий, этот инструмент позволит им повысить привилегии до "NT AUTHORITY\SYSTEM". Также с помощью SharpToken можно захватить интерактивный сеанс пользователя
hacking_tools: PT-CR-753: Cobalt_Strike_RunAs_Escalate: Обнаружено выполнение команды RunAS с помощью Cobalt Strike для повышения привилегий
mitre_attck_privilege_escalation: PT-CR-1212: PrintNotify_Potato: Привилегии служебной учетной записи повышены с помощью техники PrintNotifyPotato
mitre_attck_privilege_escalation: PT-CR-1217: RasMan_Potato: Обнаружено локальное повышение привилегий от служебной учетной записи до прав SYSTEM с помощью техники RasmanPotato
mitre_attck_cred_access: PT-CR-1363: Masky_Tool_Usage: Обнаружение использования инструмента Masky, предназначенного для получения NT-хешей и TGT пользователей, работающих на атакованных узлах, для запроса сертификатов от их имени
mitre_attck_privilege_escalation: PT-CR-1933: GodPotato_PrivEsc: Повышение привилегий с помощью техники GodPotato позволяет злоумышленнику с привилегией ImpersonatePrivilege повысить свои права до пользователя System. После этого злоумышленник может извлечь со компрометированного узла учетные данные к различным сервисам локальных пользователей, а в некоторых случаях и других пользователей, получавших доступ к данному узлу. Использование этих данных позволит злоумышленнику горизонтально переместиться (Lateral Movement) на другие узлы инфраструктуры.
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Monitor for API calls associated with other suspicious behavior to reduce false positives that may be due to normal benign use by users and administrators, such as DuplicateToken(Ex), ImpersonateLoggedOnUser , and SetThreadToken. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Monitor executed commands and arguments to detect token manipulation by auditing command-line activity. Specifically, analysts should look for use of the runas command. Detailed command-line logging is not enabled by default in Windows. |
---|
Меры противодействия
ID | M1018 | Название | Управление учетными записями | Описание | An adversary must already have administrator level access on the local system to make full use of this technique; be sure to restrict users and accounts to the least privileges they require. |
---|
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Limit permissions so that users and user groups cannot create tokens. This setting should be defined for the local system account only. GPO: Computer Configuration > [Policies] > Windows Settings > Security Settings > Local Policies > User Rights Assignment: Create a token object. Also define who can create a process level token to only the local and network service through GPO: Computer Configuration > [Policies] > Windows Settings > Security Settings > Local Policies > User Rights Assignment: Replace a process level token. Administrators should log in as a standard user but run their tools with administrator privileges using the built-in access token manipulation command |
---|