Контакты
Подписка 2025

Кража токенов доступа как способ повысить локальные привилегии

Сергей Меньшаков, 31/05/21

Многие кибератаки, целью которых является причинение вреда сети, включают техники бокового смещения. После первичного заражения, чтобы распространяться дальше и скомпрометировать другие системы в сети, такому вредоносному ПО обычно необходимо выполнить задание или запустить команду с повышенной привилегией. По этой причине на одном из этапов горизонтального распространения данные программы обычно применяют какую-либо методику для повышения уровня прав и полномочий.

Автор: Сергей Меньшаков, инженер-пресейл направления McAfee

В случае успеха вредоносное ПО или киберпреступник получат возможность проводить боковое смещение в зараженной системе более скрыто, выполняя задания от имени привилегированного пользователя, а также обходя такие средства защиты, как контроль учетных записей.

Одной из популярной среди авторов программ-зловредов методик повышения уровня прав и полномочий является манипуляция с токенами доступа. Методика включает кражу токена доступа процесса и маскировку злоумышленника под законного пользователя, то есть имперсонацию – выдачу себя за другого человека. Эти действия обеспечивают дальнейшее горизонтальное распространение вредоносного ПО в сети под видом другого зарегистрированного в системе пользователя или пользователя с более высокими правами.

Когда пользователь осуществляет интерактивный вход в Windows через консоль, ОС создает сеанс и пользовательский токен доступа. С помощью этого токена Windows управляет идентификационными данными, безопасностью и правами доступа зарегистрировавшегося в системе пользователя, в конечном итоге определяя, к каким системным ресурсам он может обращаться и какие задания может выполнять. Токен доступа обычно состоит из объекта ядра и идентификационных сведений пользователя в системе, а также содержит другую информацию, например о группе, правах доступа, уровне надежности процесса, привилегиях и т.д. В целом для каждого пользовательского сеанса создается токен доступа, который ссылается на реквизиты SSO (Single-Sign-On), единого входа в систему Windows. Они дают возможность пройти аутентификацию и получить доступ к локальным или удаленным сетевым ресурсам.

Как только киберпреступник проник в первичную систему и "укоренился" в ней, его дальнейшая цель – горизонтальное (боковое) распространение по сети для обращения к новым ресурсам или критически важным объектам. Один из способов решения этой задачи для злоумышленника – использование идентификационных данных или реквизитов доступа пользователей, которые вошли в систему на скомпрометированной машине, для перехода в другие системы или повышения уровня прав и бокового перемещения под видом зарегистрированного пользователя с повышенными привилегиями. Манипуляция с токенами доступа к процессу помогает кибепреступникам достичь этой цели.

Информация о правиле YARA, методиках MITRE ATT&CK, технических подробностях успешного выполнения атак с использованием манипуляции с токенами на уровне кода вредоносного ПО доступна в отчете [1].

Общая информация об угрозе

Злоупотребление токенами процесса для повышения уровня прав и полномочий в системе характерно для нескольких типов вредоносного ПО и продвинутых устойчивых угроз. Для достижения этой цели программы-зловреды используют несколько методов, и все они включают неправомочное использование API Windows для кражи или имперсонации токена с целью повышения уровня привилегий и усиления горизонтального (бокового) распространения.

  1. Если пользователь, который вошел в систему на скомпрометированной или зараженной машине, относится к группе администраторов или запускает процесс с повышенными правами (например, с помощью команды runas), вредоносное ПО может использовать привилегии в токене доступа к процессу для повышения привилегий в системе и получения возможности выполнения заданий с такими привилегиями.
  2. Для выявления процессов Windows с повышенными правами (обычно уровня SYSTEM) вредоносное ПО может использовать одно из нескольких API. Затем, получив токены доступа этих процессов, оно может использовать их для создания новых процессов. Такой новый процесс запускается от имени пользователя, указанного в токене, с полномочиями уровня SYSTEM.
  3. Программы-зловреды также могут осуществлять имперсонацию (замену) токена. Эта атака предполагает клонирование токена доступа процесса SYSTEM и преобразование его в токен заимствования прав с помощью соответствующих функций Windows. Повысив привилегии таким способом, злоумышленник может выполнять на зараженной машине команды от имени пользователя с правами SYSTEM.
  4. Манипуляции с токенами позволяют вредоносному ПО использовать реквизиты входа пользователя, который уже зарегистрирован в системе, либо другого привилегированного пользователя для аутентификации на удаленном сетевом ресурсе и дальнейшего горизонтального продвижения по сети.
  5. Такие техники атак позволяют обходить средства защиты, включая UAC, списки управления доступом, эвристические методы обнаружения и обеспечивают более скрытое боковое распространение программ-зловредов.

Существуют решения, например McAfee On-Access-Scan, способные распознавать программы-зловреды такого вида.


  1. https://www.mcafee.com/enterprise/en-us/assets/reports/rp-access-token-theftmanipulation-attacks.pdf 
Темы:СКУДЖурнал "Информационная безопасность" №2, 2021

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Кибербезопасность
Форум ITSEC 2025 | Москва | Radisson Blu Belorusskaya. Мероприятия для директоров и специалистов по ИБ, инженеров, ИТ-руководителей и разработчиков
Регистрируйтесь и участвуйте 14-15 октября →
Статьи по той же темеСтатьи по той же теме

  • Решения Рутокен для аутентификации в российские ОC и информационные системы
    Андрей Шпаков, руководитель проектов по информационной безопасности в Компании "Актив"
    Устройства Рутокен являются передовыми аппаратными средствами пользовательской аутентификации на российском рынке. Совместно с другими средствами защиты они обеспечивают полный цикл MFA. Компания "Актив" создает не только аппаратные, но и программные решения, в частности, Рутокен Логон.
  • Что такое Identity, и почему его важно защищать от киберугроз
    Андрей Лаптев, директор продуктового офиса “Индид”
    Понятие Identity сложно перевести на русский язык и осмыслить в полной мере как с технической, так и с юридической точки зрения. Этот термин обычно не переводят, поскольку в нашем языке нет слов, которые раскрывали бы его суть точно и целиком. В зависимости от контекста Identity можно приблизительно перевести как “личность” или “идентичность”.
  • Управление доступом и привилегиями: как обеспечить минимальный привилегированный доступ
    Константин Родин, руководитель отдела развития продуктов компании “АйТи Бастион”
    Растет запрос не просто на реализацию систем предоставления доступа, но и на построение сложных и надежных комплексов контроля доступа, которые позволяют объединять различные решения для создания доверенных сред между пользователями и конечными информационными системами
  • MULTIFACTOR: трудное время порождает сильные решения
    Роман Башкатов, коммерческий директор ООО “МУЛЬТИФАКТОР”
    Мы задали вопросы об истории резкого старта компании “МУЛЬТИФАКТОР”, ее сегодняшнем состоянии и, конечно же, планах и прогнозах коммерческому директору Роману Башкатову, который стоял у истоков проекта и продолжает активно участвовать в его развитии.
  • Практика внедрения решений класса PAM и тренды их развития. Круглый стол
    Российские решения класса PAM (Priveleged Access Management) активно развиваются: появляются новые системы, наращивается функциональность, увеличивается совместимость со смежными классами систем. Редакция журнала “Информационная безопасность” попросила разработчиков и интеграторов PAM поделиться видением и опытом по наиболее актуальным вопросам.
  • Роль систем класса PAM в реализации концепции Zero Trust
    Александр Булатов, коммерческий директор NGR Softlab
    Использование систем PAM для авторизации и аутентификации пользователей является одним из способов реализации концепции Zero Trust в информационной безопасности

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Персональные данные в 2026 году: новые требования
Обсудим 15 октября на Форуме ITSEC 2025. Регистрация →

More...
ТБ Форум 2025
Защита АСУ ТП и КИИ: готовимся к 2026 году
Регистрация участников на конференцию 16 октября →

More...