Manipulação de tokens de acesso

O que são tokens de acesso?

Tokens de acesso são usados por aplicações do Windows para acessar APIs. Um token de acesso contém informações como quem iniciou um processo, a aplicação que gerou o token e seu tempo de expiração.

O que é manipulação de token de acesso?

Um invasor pode manipular tokens de acesso para fazer um processo parecer ter sido iniciado por outra conta de usuário, enquanto na realidade a solicitação pode ter sido iniciada pela conta comprometida pelo invasor em sua rede.

Os invasores aproveitam os tokens de acesso para escalar privilégios do nível administrativo para o nível do SISTEMA para realizar atividades maliciosas e acessar sistemas em sua rede remotamente para explorar vários processos do sistema em seu benefício.

Como é realizada a manipulação de token de acesso?

Um invasor deve ter acesso a uma conta de usuário privilegiada para obter tokens de acesso de qualquer processo no ambiente Windows.

Os invasores obtêm tokens de acesso de uma das três maneiras a seguir:

1. Roubando tokens de acesso

Um invasor pode usar as seguintes funções de API integradas do Windows para copiar e usar tokens existentes de outros processos para realizar atividades maliciosas:

• A função DuplicateTokenEx() é usada para criar tokens duplicados de tokens de acesso existentes.
• A função ImpersonateLoggedOnUser() é usada para personificar outro usuário para executar o processo. Os invasores garantem que o usuário personificado tenha todas as permissões necessárias para executar o processo.
• Além disso, os invasores podem usar a função SetThreatToken() para atribuir um token personificado a uma thread.

2.Criando um novo processo com um token de acesso roubado

Os invasores podem usar um token duplicado para criar um novo processo usando a função CreateProcessWithTokenW(). Essa função permite que os invasores criem tokens implementando o contexto de segurança de qualquer usuário que eles escolham personificar.

3.Criando um novo processo com um token de acesso roubado

Os invasores podem criar remotamente sessões de login para usuários se tiverem as credenciais de qualquer conta de usuário usando a função LogonUser(). Eles podem então obter um token no contexto de segurança do usuário logado, que podem atribuir a uma thread para executar um processo.

Qualquer usuário pode usar o comando runas e realizar operações personificando outros usuários. Esse contexto é frequentemente usado por administradores de sistema, pois eles fazem login nos sistemas como usuários padrão e executam processos administrativos usando o comando runas.

Melhores práticas a seguir para mitigar a manipulação de tokens de acesso

• Como os invasores podem tirar total proveito dos tokens de acesso e de suas funções integradas apenas a partir de uma conta de usuário privilegiada, é altamente recomendável que você monitore todas as contas de usuário privilegiadas quanto a atividades suspeitas, pois essas contas podem criar, habilitar, desabilitar e atribuir permissões a contas de sistema e de usuário.
• Adote o POLP (Principle of Least Privilege), ou Princípio do Menor Privilégio, para garantir que nenhum usuário ou função tenha mais do que os privilégios necessários.
• Gerencie suas Políticas de grupo regularmente para verificar se apenas o pessoal autorizado pode criar, duplicar ou substituir tokens de acesso.
• Monitore logins que ocorrem através da Interface de linha de comando.
• O uso do comando runas deve ser monitorado de perto para identificar a personificação.

Como monitorar sua rede de forma eficiente?

Você pode seguir as melhores práticas mencionadas acima e também monitorar constantemente as atividades dos usuários e dispositivos em sua rede para fortalecer a estrutura de segurança. Pode ser bastante trabalhoso monitorar os logs de dispositivos de defesa do seu perímetro, seus logs de sistema e a atividade de usuários privilegiados e outros para mitigar ameaças em sua rede. Você pode usar uma solução de gerenciamento de logs para evitar esse incômodo.

O EventLog Analyzer é uma solução de gerenciamento de logs que pode coletar logs de todos os seus dispositivos de rede em um local centralizado, analisar e averiguar esses logs. Ele usa seu poderoso mecanismo de correlação para correlacionar atividades de todas as partes de sua rede. Ele pode monitorar a atividade de usuários privilegiados e gerar relatórios sobre Logins de usuários, Logoffs de usuários, Falhas de login, Validação de conta de usuário bem-sucedida e Falha na validação de conta de usuário, para citar algumas. Ele pode identificar atividades anômalas e sinalizá-las como ameaças. O EventLog Analyzer permite que você configure alertas em tempo real para notificá-lo via SMS e e-mail em caso de um ataque.Confira outros recursos do EventLog Analyzer agora.

O que vem a seguir?