0x01 基础信息
| 具体信息 | 详情 |
|---|---|
| ATT&CK编号 | T1134-001 |
| 所属战术阶段 | 权限提升 |
| 操作系统 | windows10 |
| 创建时间 | 2022年11月7日 |
| 监测平台 | 火绒安全、sysmon |
| 编写人员 | 暗魂攻防实验室网空对抗中心-G4br1el |
0x02 技术原理
攻击者可能会复制然后冒充另一个用户的令牌以提升权限并绕过访问控制。攻击者可以创建一个新的访问令牌,该令牌使用 复制现有令牌DuplicateToken(Ex)。然后可以使用令牌ImpersonateLoggedOnUser来允许调用线程模拟登录用户的安全上下文,或者SetThreadToken将模拟令牌分配给线程。
当攻击者想要将新令牌分配给特定的现有流程时,他们可能会这样做。例如,当目标用户在系统上具有非网络登录会话时,这可能很有用。
0x03 复现环境
| 工具列表 | 相关链接 |
|---|---|
| sysmon日志记录工具 | https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon |
| sysmon默认规则文件 | https://github.com/SwiftOnSecurity/sysmon-config/blob/master/sysmonconfig-export.xml |
| sysmon安装命令 | sysmon64.exe -accepteula -i sysmonconfig-export.xml |
| 攻击条件 | 已知管理员账户密码 |
0x04 复现过程
使用普通用户权限的anhunsec用户进行登录(且已知管理员用户密码)
然后可以使用runas命令
输入:
runas /noprofile /user:administratorAdministrator cmd
命令可知我们复制了然后冒充管理员的令牌,然后以管理员权限去执行cmd.exe,此时我们就可以用管理员身份去添加一些账户。
0x05 检测方法
-
日志特征
UtcTime 2022-11-07 07:15:33.978
ProcessGuid {dee14cd6-b095-6368-2202-000000001500}
ProcessId 10928
Image C:WindowsSystem32runas.exe
FileVersion 10.0.19041.1466 (WinBuild.160101.0800)
Description Run As Utility
Product Microsoft® Windows® Operating System
Company Microsoft Corporation
OriginalFileName RUNAS.EXE
CommandLine runas /noprofile /user:administratorAdministrator cmd
CurrentDirectory C:Usersanhunsec
User DESKTOP-IPKAFL1anhunsec
LogonGuid {dee14cd6-afd4-6368-a607-3e0000000000}
LogonId 0x3e07a6
TerminalSessionId 2
IntegrityLevel Medium
Hashes MD5=9DB13DADD1F105CDB739A3243A1463CF,SHA256=CFDD7CC431D1ED6CA72B43292DAAD839066425661B5A7FE30A680AE6735CFD3A,IMPHASH=BB66B03234C66AC6A9F7BA5216F66930
ParentProcessGuid {dee14cd6-b025-6368-1102-000000001500}
ParentProcessId 11376
ParentImage C:WindowsSystem32cmd.exe
ParentCommandLine "C:Windowssystem32cmd.exe"
ParentUser DESKTOP-IPKAFL1anhunsec![ATT&CK实验-T1134-001访问令牌操作]( "ATT&CK实验-T1134-001访问令牌操作")
2.攻击特征
在一台主机内切换普通用户时,如使用cmd去添加用户,会被火绒检测到,当我们使用一些火绒未监测到命令等那就可以成功的执行我们想要的操作。本次实验使用runas时火绒未告警。
0x06 处置方法与规则编写
-
处置方法:
限制权限,使用户和用户组无法创建令牌。此设置应仅为本地系统帐户定义。GPO:计算机配置 > [策略] > Windows 设置 > 安全设置 > 本地策略 > 用户权限分配:创建令牌对象。还定义谁可以通过 GPO 仅为本地和网络服务创建进程级别令牌:计算机配置 > [策略] > Windows 设置 > 安全设置 > 本地策略 > 用户权限分配:替换进程级别令牌。
-
火绒监测规则编写:
{
"ver":"5.0",
"tag":"hipsuser",
"data":[
{
"id":1,
"power":1,
"name":"T1134.001-访问令牌规则",
"procname":"C:\Windows\System32\runas.exe",
"treatment":3,
"policies":[
{
"montype":0,
"action_type":16,
"res_path":"C:\*"
},
{
"montype":0,
"action_type":16,
"res_path":"D:\*"
},
{
"montype":1,
"action_type":15,
"res_path":"C:\*"
}
]
}
]
}
0x07 总结
通过本次实验可知,我们使用runas命令时,火绒未发生告警,因为我们已知管理员的密码,通过复制然后冒充另一个的用户令牌以提升特权并且绕过访问控制。作为普通用户anhunsec,好比是一个基层人员,但是有个任务必须要得到高层的许可才可以进行,请示高层后,暂时切换为高层级别执行该任务。
原文始发于微信公众号(暗魂攻防实验室):ATT&CK实验-T1134-001访问令牌操作
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论