Immagina di essere nella destinazione turistica dei tuoi sogni e di voler fare il check-in nella camera d'albergo che hai prenotato. Confermi la tua identità mostrando il passaporto all'addetto alla reception. L'addetto alla reception accetta il documento e ti consegna la tessera magnetica per accedere alla tua camera.
Le tue credenziali funzionano in modo simile a un passaporto; servono a confermare, o meglio, ad autenticare, la tua identità sul server. I sistemi Windows generano token di accesso con il contesto di protezione per consentire l'accesso alle risorse protette, in modo molto simile alla tessera magnetica dell'hotel emessa dall'addetto alla reception. Tuttavia, questi token di accesso possono essere rubati o manipolati.
I malintenzionati vogliono accedere alle risorse protette e cercheranno di spacciarsi per l'utente servendosi di token di accesso rubati. Questo articolo illustra il modo in cui i malintenzionati eseguono la manipolazione dei token di accesso e come è possibile rilevarla nel proprio ambiente IT.
I token di accesso vengono in genere rilasciati ai processi Windows. Contengono un ID utente, un ID gruppo, i privilegi associati e altre informazioni di sicurezza che non possono essere manomesse. Quando un processo tenta di accedere a una risorsa protetta, Windows consente al processo di eseguire questa operazione solo se il relativo token di accesso viene convalidato con l'elenco di controllo di accesso della risorsa protetta. Il token associato al processo iniziale viene trasmesso a tutti i processi secondari. Si tratta di un'operazione con privilegi che può essere eseguita da un contesto con privilegi, ad esempio un account amministratore.
Tuttavia, Windows dispone di disposizioni che consentono la duplicazione dei token di accesso senza alcun privilegio speciale. Ad esempio, per limitare l'accesso di un'applicazione avviata, vengono creati automaticamente nuovi token con un livello inferiore di diritti di accesso, noti come token di rappresentazione. Gli utenti malintenzionati sfruttano queste disposizioni per spacciarsi per un utente o un contesto di sicurezza del sistema, aggirare i controlli di accesso ed eseguire azioni dannose.
La manipolazione dei token di accesso si verifica quando un utente malintenzionato utilizza le funzioni API di Windows integrate per copiare i token di accesso dai processi esistenti e modificarli in base al proprio scopo. Possono applicare i token rubati a un processo esistente o utilizzarli in un contesto di sicurezza diverso creando un nuovo processo. Le seguenti chiamate API di Windows possono essere usate per rubare e fare un uso malevolo dei token di accesso: OpenProcess(), OpenProcessToken(), ImpersonateLoggedOnUser(), DuplicateTokenEx() e CreateProcessWithTokenW().
L'aggressore potrebbe prima compromettere un account amministratore da cui può effettuare queste chiamate API e rubare i token di accesso. Ma gli aggressori non sempre necessitano dei privilegi di amministratore. Possono utilizzare il comando RunAs/netonly da qualsiasi account utente e accedere ad altri computer della rete in un contesto privilegiato. I campi di Active Directory possono essere utilizzati anche per modificare i token di accesso.
Una volta che gli aggressori hanno questi token, accedono a tutte le risorse consentite. Possono stabilire l'accesso a sistemi remoti o addirittura compromettere altri sistemi della rete. Pass-the-hash, pass-the-ticket e overpass-the-hash sono alcuni esempi in cui la manipolazione del token di accesso viene utilizzata per lo "spostamento laterale".
Le tecniche di manipolazione dei token di accesso sono difficili da rilevare perché lasciano poche prove. Gli attacchi pass-the-ticket sono notoriamente difficili da rilevare. Tuttavia, alcune azioni eseguite durante la manipolazione del token di accesso generano registri degli eventi.
La raccolta dei registri degli eventi di sistema e il setacciamento di essi alla ricerca di modelli di registro sospetti può aiutare a scoprire gli indicatori di compromissione per alcune tecniche di manipolazione dei token di accesso, come indicato di seguito.
| Tecnica di attacco informatico | Indicatori di compromissione degli endpoint |
|---|---|
| Pass-the-hash | Controlla i registri degli endpoint per:
|
| Indicatori di compromissione degli endpoint | |
| Pass-the-ticket |
|
In breve, è da qui che puoi iniziare ad aumentare le tue possibilità di rilevare la manipolazione dei token di accesso nel tuo ambiente:
Sebbene la registrazione possa essere eseguita con strumenti nativi, l'implementazione della soluzione giusta può renderla molto più semplice ed efficace.
Log360 di ManageEngine è una soluzione SIEM e di mitigazione delle minacce completa e facile da usare che controlla in modo approfondito firewall, router, switch, applicazioni, file server, server web e molto altro, offrendoti una visibilità completa del tuo ambiente IT.
Questa soluzione può attivare avvisi per gli IoC di vari attacchi e identificare le connessioni di traffico dannose con il suo motore di correlazione in tempo reale. Con un motore di ricerca basato su Elasticsearch, Log360 facilita il drill-down dei registri di base per ulteriori indagini. Log360 offre anche un modulo di gestione degli incidenti che aiuta a stabilire le priorità e a risolvere gli incidenti di sicurezza.
Scopri di più su Log360 oggi stesso.