Имперсонация токена
Что такое Имперсонация токена?
Имперсонация токенаТехника повышения привилегий в Windows (MITRE ATT&CK T1134), при которой атакующий дублирует существующий токен доступа и запускает код в контексте другого пользователя.
Имперсонация токена использует модель токенов Windows: каждый поток может нести access-токен, определяющий, от чьего имени он действует. С помощью API OpenProcessToken, DuplicateTokenEx и ImpersonateLoggedOnUser (или SetThreadToken) и при наличии достаточных привилегий (обычно SeImpersonatePrivilege, SeAssignPrimaryToken или SeDebugPrivilege) атакующий может украсть более привилегированный токен — например, SYSTEM-токен services.exe — и запустить процесс от этого пользователя. Фреймворки автоматизируют технику: steal_token в Cobalt Strike, модуль incognito Metasploit, token::elevate в Mimikatz. ATT&CK классифицирует её как T1134 Access Token Manipulation с подтехниками Make and Impersonate Token, Create Process with Token и Parent PID Spoofing. Детект основан на аномалиях событий Sysmon 1/10 и корреляции 4673/4624 по token-id.
● Примеры
- 01
Использование steal_token из Cobalt Strike на SYSTEM-процессе для запуска cmd.exe от NT AUTHORITY\SYSTEM.
- 02
Запуск Mimikatz token::elevate после получения SeDebugPrivilege для имперсонации токена LSASS.
● Частые вопросы
Что такое Имперсонация токена?
Техника повышения привилегий в Windows (MITRE ATT&CK T1134), при которой атакующий дублирует существующий токен доступа и запускает код в контексте другого пользователя. Относится к категории Идентификация и доступ в кибербезопасности.
Что означает Имперсонация токена?
Техника повышения привилегий в Windows (MITRE ATT&CK T1134), при которой атакующий дублирует существующий токен доступа и запускает код в контексте другого пользователя.
Как защититься от Имперсонация токена?
Защита от Имперсонация токена обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Имперсонация токена?
Распространённые альтернативные названия: манипуляция токенами доступа, T1134.