Token-Impersonation
Was ist Token-Impersonation?
Token-ImpersonationWindows-Privilegienerweiterungstechnik (MITRE ATT&CK T1134), bei der ein Angreifer ein vorhandenes Access-Token dupliziert und in Code im Kontext eines anderen Benutzers ausfuhrt.
Token-Impersonation missbraucht das Windows-Token-Modell: Jeder Thread kann ein Access-Token tragen, das festlegt, als wer er handelt. Mit APIs wie OpenProcessToken, DuplicateTokenEx und ImpersonateLoggedOnUser (oder SetThreadToken) kann ein Angreifer mit ausreichendem Privileg (typischerweise SeImpersonatePrivilege, SeAssignPrimaryToken oder SeDebugPrivilege) ein hoher privilegiertes Token stehlen — etwa das SYSTEM-Token von services.exe — und einen neuen Prozess als dieser Benutzer starten. Frameworks wie steal_token in Cobalt Strike, das Metasploit-Modul incognito und Mimikatz token::elevate automatisieren die Technik. ATT&CK fuhrt sie als T1134 Access Token Manipulation mit den Subtechniken Make and Impersonate Token, Create Process with Token und Parent PID Spoofing. Detection setzt auf Sysmon-Event-1/10-Anomalien und 4673/4624-Korrelation per Token-ID.
● Beispiele
- 01
steal_token von Cobalt Strike auf einen SYSTEM-Prozess anwenden, um cmd.exe als NT AUTHORITY\SYSTEM zu starten.
- 02
Mimikatz token::elevate nach Erlangung von SeDebugPrivilege einsetzen, um das LSASS-Token zu impersonieren.
● Häufige Fragen
Was ist Token-Impersonation?
Windows-Privilegienerweiterungstechnik (MITRE ATT&CK T1134), bei der ein Angreifer ein vorhandenes Access-Token dupliziert und in Code im Kontext eines anderen Benutzers ausfuhrt. Es gehört zur Kategorie Identität und Zugriff der Cybersicherheit.
Was bedeutet Token-Impersonation?
Windows-Privilegienerweiterungstechnik (MITRE ATT&CK T1134), bei der ein Angreifer ein vorhandenes Access-Token dupliziert und in Code im Kontext eines anderen Benutzers ausfuhrt.
Wie funktioniert Token-Impersonation?
Token-Impersonation missbraucht das Windows-Token-Modell: Jeder Thread kann ein Access-Token tragen, das festlegt, als wer er handelt. Mit APIs wie OpenProcessToken, DuplicateTokenEx und ImpersonateLoggedOnUser (oder SetThreadToken) kann ein Angreifer mit ausreichendem Privileg (typischerweise SeImpersonatePrivilege, SeAssignPrimaryToken oder SeDebugPrivilege) ein hoher privilegiertes Token stehlen — etwa das SYSTEM-Token von services.exe — und einen neuen Prozess als dieser Benutzer starten. Frameworks wie steal_token in Cobalt Strike, das Metasploit-Modul incognito und Mimikatz token::elevate automatisieren die Technik. ATT&CK fuhrt sie als T1134 Access Token Manipulation mit den Subtechniken Make and Impersonate Token, Create Process with Token und Parent PID Spoofing. Detection setzt auf Sysmon-Event-1/10-Anomalien und 4673/4624-Korrelation per Token-ID.
Wie schützt man sich gegen Token-Impersonation?
Schutzmaßnahmen gegen Token-Impersonation kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Token-Impersonation?
Übliche alternative Bezeichnungen: Access-Token-Manipulation, T1134.
● Verwandte Begriffe
- identity-access№ 1002
SeDebugPrivilege
Sehr machtiges Windows-Privileg, das den Halter beliebige Prozesse — auch LSASS — offnen, lesen und manipulieren lasst und damit ein bevorzugtes Ziel von Credential-Dieben ist.
- vulnerabilities№ 860
Privilegieneskalation
Eine Klasse von Schwachstellen, die einem Angreifer höhere Rechte verschafft als ursprünglich vergeben — etwa vom normalen Benutzer zum Administrator.
- defense-ops№ 682
Mimikatz
Ein Open-Source-Windows-Post-Exploitation-Tool, das Klartext-Passwoerter, Hashes, Kerberos-Tickets und weitere Credentials aus dem Speicher und aus LSASS extrahiert.
- identity-access№ 1194
User Account Control (UAC)
Windows-Sicherheitsfunktion seit Vista, die interaktive Sitzungen mit eingeschranktem Token betreibt und vor jeder administrativen Aktion Zustimmung oder Anmeldedaten anfordert.
- compliance№ 687
MITRE ATT&CK
Global zugängliche, von MITRE gepflegte Wissensdatenbank über Taktiken und Techniken realer Angreifer.