Техника на mitre.org

T1134.002: Создание процесса с помощью токена

Злоумышленники могут создать новый процесс с использованием существующего токена, чтобы повысить привилегии и обойти контроль доступа. Процессы могут быть созданы с применением токена и связанного с ним контекста безопасности пользователя с помощью таких функций, как CreateProcessWithTokenW и runas.

Для создания процессов с токеном, не связанным с текущим пользователем, могут потребоваться учетные данные целевого пользователя, привилегии, необходимые для имперсонации этого пользователя, или доступ к соответствующему токену. Например, токен может быть продублирован посредством техники Кража токена и имперсонация или создан с помощью техники Создание токена и имперсонация перед его использованием для создания процесса.

Хотя эта техника отличается от кражи токена и имперсонации, эти приемы могут использоваться совместно, когда токен дублируется и затем используется для создания нового процесса.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_privilege_escalation: PT-CR-592: RunAs_Subrule_Login: Пользователь прошел проверку подлинности от имени другого пользователя mitre_attck_privilege_escalation: PT-CR-468: RunAs_Context_Menu_Subrule_Execute: Запуск процесса через контекстное меню ОС Windows "Запуск от имени другого пользователя" mitre_attck_privilege_escalation: PT-CR-853: RoguePotato_PrivEsc: Привилегии повышены с помощью техники RoguePotato mitre_attck_privilege_escalation: PT-CR-462: RunAs_Context_Menu: Пользователь запустил процесс от имени другого пользователя mitre_attck_privilege_escalation: PT-CR-846: JuicyPotato_PrivEsc: Обнаруживает повышение привилегий до пользователя System с помощью техники JuicyPotato или JuicyPotatoNG. После этого злоумышленник может извлечь со компрометированного узла учетные данных к различным сервисам локальных пользователей, а в некоторых случаях и других пользователей, получавших доступ к данному узлу. Использование этих данных позволит злоумышленнику горизонтально переместиться (Lateral Movement) на другие узлы инфраструктуры. mitre_attck_privilege_escalation: PT-CR-464: RunAs_System_Or_External_Tools: Пользователь запустил процесс от имени другого пользователя или с указанием учетной записи для выполнения исходящих подключений mitre_attck_cred_access: PT-CR-2496: LetMeowIn_LSASS_Dump: Возможное использование утилиты LetMeowIn, чтобы сохранить память процесса lsass.exe для извлечения паролей или NTLM-хешей. Утилита создает копию процесса lsass.exe путем дублирования его дескриптора mitre_attck_cred_access: PT-CR-2494: Subrule_LetMeowIn_LSASS_Dump: Получение доступа к копии процесса lsass.exe, созданной путем дублирования существующего дескриптора lsass.exe. Это может свидетельствовать о попытке сохранить память созданной копии в отдельный файл

Способы обнаружения

ID	DS0009	Источник и компонент данных	Процесс: Вызовы API ОС	Описание	Отслеживайте вызовы API, связанные с манипуляцией токенами, тщательно анализируя действия пользователя, изучая запущенные процессы и сопоставляя эту информацию с другими событиями в конечной системе и сети. Аналитики также могут отслеживать использование таких API Windows, как `CreateProcessWithTokenW`, и сопоставлять эту активность с другими подозрительными действиями, чтобы снизить количество ложных срабатываний, вызванных обычным легитимным использованием пользователями и администраторами.

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для манипулирования токенами, посредством аудита процессов командной строки. В частности, отслеживайте запуск команды runas или подобные артефакты. В Windows подробное журналирование процессов командной строки по умолчанию отключено.

ID	Источник и компонент данных	Описание
DS0009	Процесс: Вызовы API ОС	Отслеживайте вызовы API, связанные с манипуляцией токенами, тщательно анализируя действия пользователя, изучая запущенные процессы и сопоставляя эту информацию с другими событиями в конечной системе и сети. Аналитики также могут отслеживать использование таких API Windows, как `CreateProcessWithTokenW`, и сопоставлять эту активность с другими подозрительными действиями, чтобы снизить количество ложных срабатываний, вызванных обычным легитимным использованием пользователями и администраторами.
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для манипулирования токенами, посредством аудита процессов командной строки. В частности, отслеживайте запуск команды runas или подобные артефакты. В Windows подробное журналирование процессов командной строки по умолчанию отключено.

Меры противодействия

ID	M1026	Название	Управление привилегированными учетными записями	Описание	Ограничьте права, чтобы пользователи и группы пользователей не могли создавать токены. Этот параметр должен быть определен только для локальной системной учетной записи. GPO: Конфигурация компьютера > [Политики] > Конфигурация Windows > Параметры безопасности > Локальные политики > Назначение прав пользователя > Создание маркерного объекта . Также определите, кто может создавать токен уровня процесса только для локальной и сетевой службы с помощью GPO: Конфигурация компьютера > [Политики] > Конфигурация Windows > Параметры безопасности > Локальные политики > Назначение прав пользователя > Замена маркера уровня процесса. Администраторы должны входить в систему как обычные пользователи, но запускать свои инструменты с правами администратора, используя встроенную команду для манипуляций с токенами доступа `runas`.

ID	M1018	Название	Управление учетными записями	Описание	Чтобы полноценно воспользоваться этой техникой, злоумышленник должен иметь доступ к локальной системе на уровне администратора. Ограничьте доступ пользователей и учетных записей минимально необходимым уровнем.

ID	Название	Описание
M1026	Управление привилегированными учетными записями	Ограничьте права, чтобы пользователи и группы пользователей не могли создавать токены. Этот параметр должен быть определен только для локальной системной учетной записи. GPO: Конфигурация компьютера > [Политики] > Конфигурация Windows > Параметры безопасности > Локальные политики > Назначение прав пользователя > Создание маркерного объекта . Также определите, кто может создавать токен уровня процесса только для локальной и сетевой службы с помощью GPO: Конфигурация компьютера > [Политики] > Конфигурация Windows > Параметры безопасности > Локальные политики > Назначение прав пользователя > Замена маркера уровня процесса. Администраторы должны входить в систему как обычные пользователи, но запускать свои инструменты с правами администратора, используя встроенную команду для манипуляций с токенами доступа `runas`.
M1018	Управление учетными записями	Чтобы полноценно воспользоваться этой техникой, злоумышленник должен иметь доступ к локальной системе на уровне администратора. Ограничьте доступ пользователей и учетных записей минимально необходимым уровнем.