Token Theft: Token Impersonation/Theft (T1134.001)

Per replicare efficacemente questa tecnica in laboratorio, è fondamentale comprendere le API Windows coinvolte. Il processo inizia identificando un token target attraverso l'enumerazione dei processi in esecuzione.

Su Windows, puoi utilizzare PowerShell per identificare processi con token interessanti: Get-Process | Where-Object {$_.StartInfo.UserName -ne $null}

Una volta identificato il processo target, tool come Cobalt Strike offrono funzionalità native per il token theft attraverso il comando steal_token [PID]. In alternativa, Pupy fornisce un'interfaccia interattiva per selezionare token basandosi sui SID disponibili nel sistema.

Per un approccio più manuale, puoi sviluppare un piccolo programma C che utilizza le API native. La sequenza tipica prevede:

1. Apertura del processo target con OpenProcess()
2. Apertura del token con OpenProcessToken()
3. Duplicazione tramite DuplicateTokenEx()
4. Impersonazione con ImpersonateLoggedOnUser()

SILENTTRINITY automatizza questo processo permettendo di cercare processi appartenenti a utenti specifici e impersonare automaticamente i token associati. Il framework è particolarmente utile per test su larga scala.

Un pattern comune osservato in campagne reali come HomeLand Justice combina il token theft con la persistenza. Gli attaccanti utilizzano tooling personalizzato per acquisire token di lsass.exe o vmtoolsd.exe, processi che garantiscono privilegi elevati e stabilità.

Durante i test, presta attenzione ai token di servizi critici. Emotet dimostra l'efficacia di duplicare token da explorer.exe per evitare di impattare il desktop dell'utente SYSTEM, mantenendo così un profilo operativo più discreto.

La detection del token theft richiede un approccio comportamentale che correli multiple attività sospette. La regola DET0482 fornisce un framework eccellente basato su behavior-chain detection.

Configura il monitoraggio su tre livelli principali di log: WinEventLog:Security per gli eventi di autenticazione, WinEventLog:Sysmon per il tracking dei processi, e ETW:Token per catturare le manipolazioni dirette dei token. Questi log devono essere correlati entro una finestra temporale di 5 minuti per identificare pattern sospetti.

Gli indicatori chiave includono chiamate API sequenziali a DuplicateToken, DuplicateTokenEx, ImpersonateLoggedOnUser, o SetThreadToken. Particolare attenzione va posta quando queste API sono invocate da processi non di sistema o con lineage di processo anomale.

Per ridurre i falsi positivi, implementa una whitelist di processi di sistema legittimi come services.exe che regolarmente duplicano token. Il parametro AllowedSystemProcesses nella configurazione della detection rule permette di escludere questi processi noti.

Un approccio efficace prevede il monitoraggio delle anomalie nella gerarchia parent-child dei processi. Quando un processo assume improvvisamente privilegi di un utente diverso dal suo parent, questo rappresenta un forte indicatore di token manipulation. Il parametro ParentProcessAnomalyThreshold permette di calibrare questa detection.

Integra alert specifici per pattern noti utilizzati da APT. APT28 sfrutta CVE-2015-1701 per accedere al token SYSTEM - monitora patch level e comportamenti associati a exploit noti. FIN8 utilizza framework malevoli per impersonare lsass.exe e vmtoolsd.exe - questi processi meritano monitoring dedicato.

L'analisi forense del token theft richiede la ricostruzione precisa della sequenza di eventi attraverso diversi artefatti. Su sistemi Windows, inizia dall'Event ID 4624 (Logon) e 4672 (Special Logon) nel Security log per identificare quando privilegi elevati sono stati assegnati.

Gli artefatti chiave risiedono nella memoria del processo. Tool come Volatility permettono di estrarre e analizzare i token handle dai dump di memoria. Cerca duplicazioni di handle tra processi, particolarmente quando coinvolgono processi di sistema critici.

La campagna HomeLand Justice offre un case study prezioso. Gli attaccanti hanno mantenuto persistenza per 14 mesi utilizzando token theft ripetuti. L'analisi ha rivelato l'uso di ImpersonateLoggedOnUser e SetThreadToken attraverso tooling custom, con evidenze nei prefetch files e negli shimcache entries.

Per ricostruire la timeline, correla:

• Timestamp di creazione processi (Sysmon Event ID 1)
• Eventi di token assignment nel Security log
• Modifiche ai privilegi di processo tracciati da ETW
• Anomalie nelle process access chains

Software come Stuxnet lascia tracce distintive quando impersona token anonimi per enumerare binding nel service control manager. Cerca pattern di enumerazione seguiti da privilege escalation entro brevi finestre temporali.

BitPaymer e REvil dimostrano pattern forensi interessanti: utilizzano token di utenti specifici per creare nuovi processi, lasciando evidenze negli audit logs di process creation con security context diversi dal parent process.

APT28 rappresenta il profilo più maturo nell'uso di token theft, sfruttando vulnerabilità specifiche come CVE-2015-1701 per accesso diretto al token SYSTEM. Il gruppo russo dimostra capacità avanzate di sviluppo exploit custom, suggerendo investimenti significativi in R&D offensivo.

FIN8 adotta un approccio diverso, utilizzando framework malevoli pre-costruiti per impersonare processi critici come lsass.exe e vmtoolsd.exe. Questo gruppo financially-motivated privilegia l'efficienza operativa rispetto allo sviluppo custom, indicando timeline più aggressive e focus sul ROI criminale.

La campagna HomeLand Justice (2021-2022) contro le reti governative albanesi rivela pattern di attori sponsorizzati da stati. La persistenza di 14 mesi prima dell'attivazione distruttiva, combinata con l'uso di tooling custom per token manipulation, suggerisce capacità di lungo termine e obiettivi geopolitici.

L'overlap nei tool è significativo: Cobalt Strike appare trasversalmente tra gruppi criminali e APT state-sponsored, mentre Emotet viene utilizzato come initial access broker da molteplici attori. Questo suggerisce una commoditizzazione della tecnica attraverso tool commerciali e criminali.

I trend geografici mostrano concentrazione in Europa dell'Est per lo sviluppo di capability avanzate (APT28), mentre gruppi asiatici tendono a integrare token theft in framework modulari più ampi. I target preferenziali includono istituzioni finanziarie per FIN8 e infrastrutture critiche per gruppi state-sponsored.

Framework MITRE ATT&CK T1134.001. Campagna HomeLand Justice (C0038) documentata contro infrastrutture albanesi 2021-2022. Detection rule DET0482 per behavior-chain analysis. Mitigazioni M1018 (User Account Management) e M1026 (Privileged Account Management) per hardening preventivo.