Ataques de manipulación y robo de tokens de acceso: una puerta a la escalada de privilegios locales


Resumen ejecutivo

Muchos ataques de malware diseñados para infligir daños en una purple están equipados con capacidades de movimiento lateral. Después de la infección inicial, dicho malware normalmente necesitaría realizar una tarea con mayores privilegios o ejecutar un comando con privilegios en el sistema comprometido para poder enumerar aún más los objetivos de la infección y comprometer más sistemas en la red. En consecuencia, en algún momento durante sus actividades de movimiento lateral, necesitaría escalar sus privilegios utilizando una u otra técnica de escalada de privilegios. Una vez que el malware o un atacante escale con éxito sus privilegios en el sistema comprometido, adquirirá la capacidad de realizar un movimiento lateral más sigiloso, generalmente ejecutando sus tareas bajo el contexto de un usuario privilegiado, además de eludir mitigaciones como el Handle de cuentas de usuario.

La manipulación del token de acceso al proceso es una de esas técnicas de escalada de privilegios que es ampliamente adoptada por los autores de malware. Este conjunto de técnicas incluye el robo y la suplantación de tokens de acceso al proceso, lo que eventualmente permite que el malware avance en sus actividades de movimiento lateral a través de la purple en el contexto de otro usuario que haya iniciado sesión o un usuario con mayores privilegios.

Cuando un usuario se autentica en Home windows a través de la consola (inicio de sesión interactivo), se crea una sesión de inicio de sesión y se le otorga un token de acceso. Home windows administra la identidad, la seguridad o los derechos de acceso del usuario en el sistema con este token de acceso, esencialmente determinando a qué recursos del sistema pueden acceder y qué tareas se pueden realizar. Un token de acceso para un usuario es principalmente un objeto del kernel y una identificación de ese usuario en el sistema, que también contiene muchos otros detalles como grupos, derechos de acceso, nivel de integridad del proceso, privilegios, and so forth. Básicamente, la sesión de inicio de sesión de un usuario tiene un token de acceso que también hace referencia a sus credenciales que se utilizarán para la autenticación de inicio de sesión único (SSO) de Home windows para acceder a los recursos de pink locales o remotos.

Una vez que el atacante logra un punto de apoyo inicial en el objetivo al comprometer el sistema inicial, querrá moverse lateralmente por la pink para acceder a más recursos o activos críticos. Una de las formas en que un atacante puede lograr esto es usar la identidad o las credenciales de los usuarios que ya iniciaron sesión en la máquina comprometida para cambiar a otros sistemas o escalar sus privilegios y realizar el movimiento lateral en el contexto de otro con privilegios superiores conectados. usuario. La manipulación del token de acceso al proceso ayuda a los atacantes a lograr este objetivo con precisión.

Para conocer nuestra regla YARA, las técnicas MITRE ATT & CK y para obtener más información sobre los detalles técnicos de los ataques de manipulación de tokens y cómo el malware ejecuta estos ataques con éxito a nivel de código, lea nuestro análisis técnico completo aquí.

Cobertura

McAfee On-Obtain-Scan tiene una detección genérica para esta naturaleza de malware, como se muestra en la siguiente captura de pantalla:

Además, la regla YARA mencionada al remaining del documento de análisis técnico también se puede utilizar para detectar los ataques de manipulación de tokens al importar la regla en las soluciones de detección de amenazas como McAfee Advance Menace Protection, este comportamiento se puede detectar.

Resumen de la amenaza

Varios tipos de malware y amenazas persistentes avanzadas abusan de los tokens de proceso para obtener privilegios elevados en el sistema. El malware puede tomar varias rutas para lograr este objetivo. Sin embargo, en todas estas rutas, abusaría de las API de Home windows para ejecutar el robo de tokens o la suplantación de tokens para obtener privilegios elevados y avanzar en sus actividades de movimiento lateral.

  • Si el usuario que ha iniciado sesión actualmente en la máquina comprometida o infectada es parte del grupo de administradores de usuarios O está ejecutando un proceso con privilegios más altos (por ejemplo, mediante el uso de «correr como«Comando), el malware puede abusar de los privilegios del token de acceso del proceso para elevar sus privilegios en el sistema, lo que le permite realizar tareas privilegiadas.
  • El malware puede usar múltiples API de Windows para enumerar los procesos de Home windows que se ejecutan con privilegios más altos (generalmente privilegios de nivel de SISTEMA), adquirir los tokens de acceso de esos procesos e iniciar nuevos procesos con el token adquirido. Esto da como resultado que el nuevo proceso se inicie en el contexto del usuario representado por el token, que es Program.
  • El malware también puede ejecutar un ataque de suplantación de identidad en el que puede duplicar las fichas de acceso del proceso de nivel de SISTEMA con privilegios superiores, convertirlo en la ficha de suplantación mediante el uso de la funcionalidad adecuada de Home windows y luego suplantar al usuario del SISTEMA en la máquina infectada, elevando así sus privilegios.
  • Estos ataques de manipulación de tokens permitirán que el malware utilice las credenciales del usuario que ha iniciado sesión actualmente o las credenciales de otro usuario privilegiado para autenticarse en el recurso de pink remoto, lo que conducirá al avance de sus actividades de movimiento lateral.
  • Estas técnicas de ataque permiten que el malware eluda múltiples mitigaciones como UAC, listas de management de acceso, técnicas de detección heurística y permite que el malware permanezca más sigiloso mientras se mueve lateralmente dentro de la crimson.





Enlace a la noticia authentic