ATT&CK实验-T1134-001访问令牌操作


ATT&CK实验-T1134-001访问令牌操作

ATT&CK实验-T1134-001访问令牌操作



ATT&CK实验-T1134-001访问令牌操作


0x01 基础信息

具体信息 详情
ATT&CK编号 T1134-001
所属战术阶段 权限提升
操作系统 windows10
创建时间 2022年11月7日
监测平台 火绒安全、sysmon
编写人员 暗魂攻防实验室网空对抗中心-G4br1el


0x02 技术原理

攻击者可能会复制然后冒充另一个用户的令牌以提升权限并绕过访问控制。攻击者可以创建一个新的访问令牌,该令牌使用 复制现有令牌DuplicateToken(Ex)。然后可以使用令牌ImpersonateLoggedOnUser来允许调用线程模拟登录用户的安全上下文,或者SetThreadToken将模拟令牌分配给线程。

当攻击者想要将新令牌分配给特定的现有流程时,他们可能会这样做。例如,当目标用户在系统上具有非网络登录会话时,这可能很有用。


0x03 复现环境

工具列表 相关链接
sysmon日志记录工具 https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon
sysmon默认规则文件 https://github.com/SwiftOnSecurity/sysmon-config/blob/master/sysmonconfig-export.xml
sysmon安装命令 sysmon64.exe   -accepteula  -i  sysmonconfig-export.xml
攻击条件 已知管理员账户密码


0x04 复现过程

使用普通用户权限的anhunsec用户进行登录(且已知管理员用户密码)

然后可以使用runas命令

ATT&CK实验-T1134-001访问令牌操作

输入:

runas /noprofile /user:administratorAdministrator cmd 

ATT&CK实验-T1134-001访问令牌操作

命令可知我们复制了然后冒充管理员的令牌,然后以管理员权限去执行cmd.exe,此时我们就可以用管理员身份去添加一些账户。


0x05 检测方法

  1. 日志特征

     UtcTime 2022-11-07 07:15:33.978 
    ProcessGuid {dee14cd6-b095-6368-2202-000000001500}
    ProcessId 10928
    Image C:WindowsSystem32runas.exe
    FileVersion 10.0.19041.1466 (WinBuild.160101.0800)
    Description Run As Utility
    Product Microsoft® Windows® Operating System
    Company Microsoft Corporation
    OriginalFileName RUNAS.EXE
    CommandLine runas /noprofile /user:administratorAdministrator cmd  
    CurrentDirectory C:Usersanhunsec
    User DESKTOP-IPKAFL1anhunsec
    LogonGuid {dee14cd6-afd4-6368-a607-3e0000000000}
    LogonId 0x3e07a6
    TerminalSessionId 2
    IntegrityLevel Medium
    Hashes MD5=9DB13DADD1F105CDB739A3243A1463CF,SHA256=CFDD7CC431D1ED6CA72B43292DAAD839066425661B5A7FE30A680AE6735CFD3A,IMPHASH=BB66B03234C66AC6A9F7BA5216F66930
    ParentProcessGuid {dee14cd6-b025-6368-1102-000000001500}
    ParentProcessId 11376
    ParentImage C:WindowsSystem32cmd.exe
    ParentCommandLine "C:Windowssystem32cmd.exe"  
    ParentUser DESKTOP-IPKAFL1anhunsec

    ATT&CK实验-T1134-001访问令牌操作

2.攻击特征

在一台主机内切换普通用户时,如使用cmd去添加用户,会被火绒检测到,当我们使用一些火绒未监测到命令等那就可以成功的执行我们想要的操作。本次实验使用runas时火绒未告警。

ATT&CK实验-T1134-001访问令牌操作


0x06 处置方法与规则编写

  1. 处置方法:

    限制权限,使用户和用户组无法创建令牌。此设置应仅为本地系统帐户定义。GPO:计算机配置 > [策略] > Windows 设置 > 安全设置 > 本地策略 > 用户权限分配:创建令牌对象。还定义谁可以通过 GPO 仅为本地和网络服务创建进程级别令牌:计算机配置 > [策略] > Windows 设置 > 安全设置 > 本地策略 > 用户权限分配:替换进程级别令牌。

  2. 火绒监测规则编写:

{
   "ver":"5.0",
   "tag":"hipsuser",
   "data":[
      {
           "id":1,
           "power":1,
           "name":"T1134.001-访问令牌规则",
           "procname":"C:\Windows\System32\runas.exe",
           "treatment":3,
           "policies":[
              {
                   "montype":0,
                   "action_type":16,
                   "res_path":"C:\*"
              },
              {
                   "montype":0,
                   "action_type":16,
                   "res_path":"D:\*"
              },
              {
                   "montype":1,
                   "action_type":15,
                   "res_path":"C:\*"
              }
          ]
      }
  ]
}

ATT&CK实验-T1134-001访问令牌操作


0x07 总结

通过本次实验可知,我们使用runas命令时,火绒未发生告警,因为我们已知管理员的密码,通过复制然后冒充另一个的用户令牌以提升特权并且绕过访问控制。作为普通用户anhunsec,好比是一个基层人员,但是有个任务必须要得到高层的许可才可以进行,请示高层后,暂时切换为高层级别执行该任务。



ATT&CK实验-T1134-001访问令牌操作

ATT&CK实验-T1134-001访问令牌操作

2022软考中级信息安全工程师备考笔记

【渗透测试】Vulnhub靶场之Machine_Matrix

CVE-2021-4034提权漏洞解析

【渗透测试】HackTheBox靶场之Timelapse


ATT&CK实验-T1134-001访问令牌操作
ATT&CK实验-T1134-001访问令牌操作
微信搜一搜
ATT&CK实验-T1134-001访问令牌操作
暗魂攻防实验室

原文始发于微信公众号(暗魂攻防实验室):ATT&CK实验-T1134-001访问令牌操作

版权声明:admin 发表于 2022年11月13日 上午8:30。
转载请注明:ATT&CK实验-T1134-001访问令牌操作 | CTF导航

相关文章

暂无评论

暂无评论...