Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
MITRE ATT&CK - Техника Создание токена и имперсонация
Каталоги
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
EN
Риски
Каталоги
MITRE ATT&CK
Техника
Создание токена и имперсонация
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

Access Token Manipulation:  Создание токена и имперсонация

ID Название
.001 Кража токена и имперсонация
.002 Создание процесса с помощью токена
.003 Создание токена и имперсонация
.004 Подмена родительского PID
.005 Внедрение в sIDHistory

Adversaries may make and impersonate tokens to escalate privileges and bypass access controls. If an adversary has a username and password but the user is not logged onto the system, the adversary can then create a logon session for the user using the LogonUser function. The function will return a copy of the new session's access token and the adversary can use SetThreadToken to assign the token to a thread.

ID: T1134.003
Относится к технике:  T1134
Тактика(-и): Defense Evasion, Privilege Escalation
Платформы: Windows
Требуемые разрешения: Administrator, User
Источники данных: Command: Command Execution, Process: OS API Execution
Версия: 1.0
Дата создания: 18 Feb 2020
Последнее изменение: 18 Feb 2020

Примеры процедур
Название Описание
Cobalt Strike

Cobalt Strike can make tokens from known credentials.(Citation: cobaltstrike manual)
Cobalt Strike

Cobalt Strike can make tokens from known credentials.(Citation: cobaltstrike manual)

Контрмеры
Контрмера Описание
Privileged Account Management

Manage the creation, modification, use, and permissions associated to privileged accounts, including SYSTEM and root.
User Account Management

Manage the creation, modification, use, and permissions associated to user accounts.

Обнаружение

If an adversary is using a standard command-line shell, analysts can detect token manipulation by auditing command-line activity. Specifically, analysts should look for use of the runas command. Detailed command-line logging is not enabled by default in Windows.(Citation: Microsoft Command-line Logging) If an adversary is using a payload that calls the Windows token APIs directly, analysts can detect token manipulation only through careful analysis of user network activity, examination of running processes, and correlation with other endpoint and network behavior. Analysts can also monitor for use of Windows APIs such as LogonUser and SetThreadToken and correlate activity with other suspicious behavior to reduce false positives that may be due to normal benign use by users and administrators.

Ссылки

  1. Strategic Cyber LLC. (2017, March 14). Cobalt Strike Manual. Retrieved May 24, 2017.
  2. Mathers, B. (2017, March 7). Command line process auditing. Retrieved April 21, 2017.
  3. Microsoft TechNet. (n.d.). Runas. Retrieved April 21, 2017.
  4. Brower, N., Lich, B. (2017, April 19). Replace a process level token. Retrieved December 19, 2017.
  5. Brower, N., Lich, B. (2017, April 19). Create a token object. Retrieved December 19, 2017.
  6. Strategic Cyber LLC. (2017, March 14). Cobalt Strike Manual. Retrieved May 24, 2017.
Навигация

Связанные риски

Ничего не найдено

Каталоги

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.