Impersonacao de Token
O que é Impersonacao de Token?
Impersonacao de TokenTecnica de elevacao de privilegios no Windows (MITRE ATT&CK T1134) em que o atacante duplica um token de acesso existente e o usa para executar codigo no contexto de outro utilizador.
A impersonacao de token abusa do modelo de tokens do Windows: cada thread pode transportar um token de acesso que define em nome de quem atua. Atraves de APIs como OpenProcessToken, DuplicateTokenEx e ImpersonateLoggedOnUser (ou SetThreadToken), um atacante com privilegio suficiente (normalmente SeImpersonatePrivilege, SeAssignPrimaryToken ou SeDebugPrivilege) pode roubar um token de privilegio mais elevado — por exemplo o token SYSTEM do services.exe — e criar um novo processo como esse utilizador. Frameworks como o steal_token do Cobalt Strike, o modulo incognito do Metasploit e o token::elevate do Mimikatz automatizam a tecnica. O ATT&CK cataloga-a como T1134 Access Token Manipulation com as subtecnicas Make and Impersonate Token, Create Process with Token e Parent PID Spoofing. A detecao foca-se em anomalias dos Sysmon Event 1/10 e na correlacao de 4673/4624 por token-id.
● Exemplos
- 01
Usar o steal_token do Cobalt Strike num processo SYSTEM para lancar cmd.exe como NT AUTHORITY\SYSTEM.
- 02
Executar Mimikatz token::elevate apos obter SeDebugPrivilege para impersonar o token do LSASS.
● Perguntas frequentes
O que é Impersonacao de Token?
Tecnica de elevacao de privilegios no Windows (MITRE ATT&CK T1134) em que o atacante duplica um token de acesso existente e o usa para executar codigo no contexto de outro utilizador. Pertence à categoria Identidade e acesso da cibersegurança.
O que significa Impersonacao de Token?
Tecnica de elevacao de privilegios no Windows (MITRE ATT&CK T1134) em que o atacante duplica um token de acesso existente e o usa para executar codigo no contexto de outro utilizador.
Como funciona Impersonacao de Token?
A impersonacao de token abusa do modelo de tokens do Windows: cada thread pode transportar um token de acesso que define em nome de quem atua. Atraves de APIs como OpenProcessToken, DuplicateTokenEx e ImpersonateLoggedOnUser (ou SetThreadToken), um atacante com privilegio suficiente (normalmente SeImpersonatePrivilege, SeAssignPrimaryToken ou SeDebugPrivilege) pode roubar um token de privilegio mais elevado — por exemplo o token SYSTEM do services.exe — e criar um novo processo como esse utilizador. Frameworks como o steal_token do Cobalt Strike, o modulo incognito do Metasploit e o token::elevate do Mimikatz automatizam a tecnica. O ATT&CK cataloga-a como T1134 Access Token Manipulation com as subtecnicas Make and Impersonate Token, Create Process with Token e Parent PID Spoofing. A detecao foca-se em anomalias dos Sysmon Event 1/10 e na correlacao de 4673/4624 por token-id.
Como se defender contra Impersonacao de Token?
As defesas contra Impersonacao de Token costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Impersonacao de Token?
Nomes alternativos comuns: manipulacao de tokens de acesso, T1134.
● Termos relacionados
- identity-access№ 1002
SeDebugPrivilege
Privilegio extremamente poderoso do Windows que permite ao detentor abrir, ler e modificar a memoria de qualquer processo — incluindo o LSASS — tornando-o alvo prioritario do roubo de credenciais.
- vulnerabilities№ 860
Escalada de privilégios
Classe de vulnerabilidades que permite a um atacante obter permissões superiores às concedidas inicialmente, por exemplo passar de utilizador normal a administrador.
- defense-ops№ 682
Mimikatz
Ferramenta open source de pos-exploracao para Windows que extrai senhas em texto claro, hashes, tickets Kerberos e outras credenciais da memoria e do LSASS.
- identity-access№ 1194
User Account Control (UAC)
Funcionalidade de seguranca do Windows introduzida no Vista que executa sessoes interativas com um token limitado e solicita consentimento ou credenciais antes de elevar uma acao administrativa.
- compliance№ 687
MITRE ATT&CK
Base de conhecimento global e aberta sobre táticas e técnicas de adversários observadas em ataques reais, mantida pela MITRE.