Кража токенов доступа и манипуляции с ними как способ повысить локальные привилегии
2, июнь 2021 Многие кибератаки, целью которых является причинение вреда сети, включают техники бокового смещения. После первичного заражения, чтобы распространяться дальше и скомпрометировать другие системы в сети, такому вредоносному ПО обычно необходимо выполнить задание или запустить команду с повышенной привилегией. По этой причине на одном из этапов горизонтального распространения эти программы обычно применяют какую-либо методику для повышения уровня прав и полномочий. В случае успеха, вредоносное ПО или киберпреступник получат возможность проводить боковое смещение в зараженной системе более скрыто, выполняя задания от имени привилегированного пользователя, а также обходя такие средства защиты как контроль учетных записей. Одной из методик повышения уровня прав и полномочий является манипуляция с токенами доступа. Она довольно популярна среди авторов программ-зловредов. Методика включает кражу токена доступа процесса и маскировку злоумышленника под законного пользователя (имперсонация – выдача себя за другого человека). Эти действия обеспечивают дальнейшее горизонтальное распространение вредоносного ПО в сети под видом другого зарегистрированного в системе пользователя или пользователя с более высокими правами. Когда пользователь входит в Windows через консоль (интерактивный вход), ОС создает сеанс и пользовательский токен доступа. С помощью этого токена Windows управляет идентификационными данными, безопасностью и правами доступа зарегистрировавшегося в системе пользователя, в конечном итоге определяя, к каким системным ресурсам он может обращаться и какие задания может выполнять. Токен доступа обычно состоит из объекта ядра и идентификационных сведений пользователя в системе, а также содержит другую информацию, например, о группе, правах доступа, уровне надежности процесса, привилегиях и т. д. В целом, для каждого пользовательского сеанса создается токен доступа, который ссылается на реквизиты единого входа в систему (SSO) Windows. Они дают возможность пройти аутентификацию и получить доступ к локальным или удаленным сетевым ресурсам. Как только киберпреступник проник в первичную систему и « укоренился » в ней, его дальнейшая цель — горизонтальное (боковое) распространение по сети для обращения к новым ресурсам или критически важным объектам. Один из способов решения этой задачи для злоумышленника — использование идентификационных данных или реквизитов доступа пользователей, которые вошли в систему на скомпрометированной машине, для перехода в другие системы или повышения уровня прав и бокового перемещения под видом зарегистрированного пользователя с повышенными привилегиями. Манипуляция с токенами доступа к процессу помогает кибепреступникам достичь этой цели. Прочтите полное описание по ссылке , чтобы узнать больше о правиле YARA, методиках MITRE ATT&CK, технических подробностях успешного выполнения атак с использованием манипуляции с токенами на уровне кода вредоносного ПО. Кроме того, правило YARA, упомянутое в конце документа с техническим анализом, также можно применять для обнаружения атак с манипуляцией токенами и соответствующего поведения. Для этого правило импортируется в специальные решения безопасности, такие как McAfee Advance Threat Defence. Общая информация об угрозе Злоупотребление токенами процесса для повышения уровня прав и полномочий в системе характерно для нескольких типов вредоносного ПО и продвинутых устойчивых угроз. Для достижения этой цели программы-зловреды используют несколько методов. Однако все они включают неправомочное использование API Windows для кражи или имперсонации токена с целью повышения уровня привилегий и усиления горизонтального (бокового) распространения.
Дополнительная информация
О компании: McAfee — компания, обеспечивающая киберзащиту в пространстве ( от устройства до облака). Опираясь на принципы сотрудничества и взаимодействия, специалисты McAfee создают корпоративные и потребительские решения, которые делают мир безопаснее. Наша целостная, автоматизированная и открытая платформа безопасности и "облачный" подход к созданию решений безопасности позволят всем вашим продуктам сосуществовать и обмениваться информацией об угрозах в любой точке цифрового ландшафта. Здесь автоматизация сочетается с человеческим разумом, что позволяет более эффективно оптимизировать рабочие процессы. Ваша команда освободится от ненужной оперативной нагрузки. Мы поможем организовать безопасность на территории и в облаке с помощью единой системы управления. Все ваши продукты по безопасности адаптируются к новым угрозам и будут работать в синергии, в целях повышения защиты на протяжении всего жизненного цикла угроз. |
|