T1134.003: Создание токена и имперсонация
Злоумышленники могут создавать новые токены и выдавать себя за существующих пользователей, чтобы повысить привилегии и обойти контроль доступа. Например, если у злоумышленника есть имя пользователя и пароль, но пользователь не вошел в систему, злоумышленник может создать сеанс входа этого пользователя с помощью функции LogonUser
. Функция вернет копию токена доступа нового сеанса, и злоумышленник может назначить токен потоку с помощью функции SetThreadToken
.
Этот прием отличается от техники Кража токена и имперсонация тем, что в нем создается новый токен пользователя, а не похищается или дублируется существующий.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
vulnerabilities: PT-CR-1918: CVE_2023_42793_Teamcity_Token_Manipulation: Возможная эксплуатация уязвимости CVE-2023-42793 в TeamCity, что позволит злоумышленникам создавать токены на предъявителя для любых пользователей и получать доступ к управлению проектами, агентами и пользователями TeamCity vulnerabilities: PT-CR-2293: CVE_2024_27198_TeamCity_Authentication_Bypass: Эксплуатация уязвимости CVE-2024-27198 в TeamCity. Уязвимость позволяет злоумышленнику обойти процесс аутентификации, чтобы создать нового пользователя TeamCity с правами администратора или токен доступа для пользователя. Это может быть использовано для удаленного выполнения команд mitre_attck_privilege_escalation: PT-CR-592: RunAs_Subrule_Login: Пользователь прошел проверку подлинности от имени другого пользователя mitre_attck_privilege_escalation: PT-CR-468: RunAs_Context_Menu_Subrule_Execute: Запуск процесса через контекстное меню ОС Windows "Запуск от имени другого пользователя" mitre_attck_privilege_escalation: PT-CR-864: Token_Manipulation: Обнаружена операция повышения привилегий с помощью токенов mitre_attck_privilege_escalation: PT-CR-462: RunAs_Context_Menu: Пользователь запустил процесс от имени другого пользователя mitre_attck_privilege_escalation: PT-CR-464: RunAs_System_Or_External_Tools: Пользователь запустил процесс от имени другого пользователя или с указанием учетной записи для выполнения исходящих подключений hacking_tools: PT-CR-753: Cobalt_Strike_RunAs_Escalate: С помощью Cobalt Strike выполнена команда "RunAs" для повышения привилегий
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Отслеживайте вызовы API (такие как LogonUser и SetThreadToken), связанные с манипуляцией токенами, тщательно анализируя действия пользователя, изучая запущенные процессы и сопоставляя эту информацию с другими событиями в конечной системе и сети. Сопоставляйте эту активность с другими подозрительными действиями, чтобы снизить количество ложных срабатываний, вызванных обычным легитимным использованием пользователями и администраторами. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для манипулирования токенами, посредством аудита процессов командной строки. В частности, отслеживайте запуск команды runas или подобные артефакты. В Windows подробное журналирование процессов командной строки по умолчанию отключено. |
---|
Меры противодействия
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Ограничьте права, чтобы пользователи и группы пользователей не могли создавать токены. Этот параметр должен быть определен только для локальной системной учетной записи. GPO: Конфигурация компьютера > [Политики] > Конфигурация Windows > Параметры безопасности > Локальные политики > Назначение прав пользователя > Создание маркерного объекта . Также определите, кто может создавать токен уровня процесса только для локальной и сетевой службы с помощью GPO: Конфигурация компьютера > [Политики] > Конфигурация Windows > Параметры безопасности > Локальные политики > Назначение прав пользователя > Замена маркера уровня процесса. Администраторы должны входить в систему как обычные пользователи, но запускать свои инструменты с правами администратора, используя встроенную команду для манипуляций с токенами доступа |
---|
ID | M1018 | Название | Управление учетными записями | Описание | Чтобы полноценно воспользоваться этой техникой, злоумышленник должен иметь доступ к локальной системе на уровне администратора. Ограничьте доступ пользователей и учетных записей минимально необходимым уровнем. |
---|