Имперсонация токена
Что такое Имперсонация токена?
Имперсонация токенаТехника повышения привилегий в Windows (MITRE ATT&CK T1134), при которой атакующий дублирует существующий токен доступа и запускает код в контексте другого пользователя.
Имперсонация токена использует модель токенов Windows: каждый поток может нести access-токен, определяющий, от чьего имени он действует. С помощью API OpenProcessToken, DuplicateTokenEx и ImpersonateLoggedOnUser (или SetThreadToken) и при наличии достаточных привилегий (обычно SeImpersonatePrivilege, SeAssignPrimaryToken или SeDebugPrivilege) атакующий может украсть более привилегированный токен — например, SYSTEM-токен services.exe — и запустить процесс от этого пользователя. Фреймворки автоматизируют технику: steal_token в Cobalt Strike, модуль incognito Metasploit, token::elevate в Mimikatz. ATT&CK классифицирует её как T1134 Access Token Manipulation с подтехниками Make and Impersonate Token, Create Process with Token и Parent PID Spoofing. Детект основан на аномалиях событий Sysmon 1/10 и корреляции 4673/4624 по token-id.
● Примеры
- 01
Использование steal_token из Cobalt Strike на SYSTEM-процессе для запуска cmd.exe от NT AUTHORITY\SYSTEM.
- 02
Запуск Mimikatz token::elevate после получения SeDebugPrivilege для имперсонации токена LSASS.
● Частые вопросы
Что такое Имперсонация токена?
Техника повышения привилегий в Windows (MITRE ATT&CK T1134), при которой атакующий дублирует существующий токен доступа и запускает код в контексте другого пользователя. Относится к категории Идентификация и доступ в кибербезопасности.
Что означает Имперсонация токена?
Техника повышения привилегий в Windows (MITRE ATT&CK T1134), при которой атакующий дублирует существующий токен доступа и запускает код в контексте другого пользователя.
Как работает Имперсонация токена?
Имперсонация токена использует модель токенов Windows: каждый поток может нести access-токен, определяющий, от чьего имени он действует. С помощью API OpenProcessToken, DuplicateTokenEx и ImpersonateLoggedOnUser (или SetThreadToken) и при наличии достаточных привилегий (обычно SeImpersonatePrivilege, SeAssignPrimaryToken или SeDebugPrivilege) атакующий может украсть более привилегированный токен — например, SYSTEM-токен services.exe — и запустить процесс от этого пользователя. Фреймворки автоматизируют технику: steal_token в Cobalt Strike, модуль incognito Metasploit, token::elevate в Mimikatz. ATT&CK классифицирует её как T1134 Access Token Manipulation с подтехниками Make and Impersonate Token, Create Process with Token и Parent PID Spoofing. Детект основан на аномалиях событий Sysmon 1/10 и корреляции 4673/4624 по token-id.
Как защититься от Имперсонация токена?
Защита от Имперсонация токена обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Имперсонация токена?
Распространённые альтернативные названия: манипуляция токенами доступа, T1134.
● Связанные термины
- identity-access№ 1002
SeDebugPrivilege
Мощная привилегия Windows, дающая владельцу право открывать, читать и изменять память любого процесса, включая LSASS, и потому являющаяся главной целью для кражи учётных данных.
- vulnerabilities№ 860
Повышение привилегий
Класс уязвимостей, позволяющий злоумышленнику получить права выше предоставленных изначально, например перейти от обычного пользователя к администратору.
- defense-ops№ 682
Mimikatz
Открытый инструмент пост-эксплуатации Windows, извлекающий пароли в открытом виде, хеши, тикеты Kerberos и другие учётные данные из памяти и LSASS.
- identity-access№ 1194
User Account Control (UAC)
Функция безопасности Windows, появившаяся в Vista: интерактивные сессии работают с ограниченным токеном, а перед административным повышением запрашивается согласие или учётные данные.
- compliance№ 687
MITRE ATT&CK
Глобально доступная база знаний о тактиках и техниках противников, наблюдаемых в реальных атаках, поддерживаемая MITRE.