Журнал "Information Security/ Информационная безопасность" #2, 2021

• 41 КОНТРОЛЬ ДОСТУПА www.itsec.ru В случае успеха вредоносное ПО или киберпреступник получат возможность проводить боковое смещение в зара- женной системе более скрыто, выполняя задания от имени привилегированного пользователя, а также обходя такие средства защиты, как контроль учетных записей. Одной из популярной среди авторов программ-зловредов методик повыше- ния уровня прав и полномочий является манипуляция с токенами доступа. Мето- дика включает кражу токена доступа процесса и маскировку злоумышленника под законного пользователя, то есть имперсонацию – выдачу себя за другого человека. Эти действия обеспечивают дальнейшее горизонтальное распростра- нение вредоносного ПО в сети под видом другого зарегистрированного в системе пользователя или пользова- теля с более высокими правами. Когда пользователь осуществляет интерактивный вход в Windows через консоль, ОС создает сеанс и пользова- тельский токен доступа. С помощью этого токена Windows управляет иден- тификационными данными, безопас- ностью и правами доступа зарегистри- ровавшегося в системе пользователя, в конечном итоге определяя, к каким системным ресурсам он может обра- щаться и какие задания может выпол- нять. Токен доступа обычно состоит из объекта ядра и идентификационных све- дений пользователя в системе, а также содержит другую информацию, напри- мер о группе, правах доступа, уровне надежности процесса, привилегиях и т.д. В целом для каждого пользовательского сеанса создается токен доступа, который ссылается на реквизиты SSO (Single Sign-On), единого входа в систему Wind- ows. Они дают возможность пройти аутентификацию и получить доступ к локальным или удаленным сетевым ресурсам. Как только киберпреступник проник в первичную систему и "укоренился" в ней, его дальнейшая цель – горизон- тальное (боковое) распространение по сети для обращения к новым ресурсам или критически важным объектам. Один из способов решения этой задачи для злоумышленника – использование иден- тификационных данных или реквизитов доступа пользователей, которые вошли в систему на скомпрометированной машине, для перехода в другие системы или повышения уровня прав и бокового перемещения под видом зарегистриро- ванного пользователя с повышенными привилегиями. Манипуляция с токенами доступа к процессу помогает кибепре- ступникам достичь этой цели. Информация о правиле YARA, мето- диках MITRE ATT&CK, технических под- робностях успешного выполнения атак с использованием манипуляции с токе- нами на уровне кода вредоносного ПО доступна в отчете 1 . Общая информация об угрозе Злоупотребление токенами процесса для повышения уровня прав и полномо- чий в системе характерно для нескольких типов вредоносного ПО и продвинутых устойчивых угроз. Для достижения этой цели программы-зловреды используют несколько методов, и все они включают неправомочное использование API Wind- ows для кражи или имперсонации токена с целью повышения уровня привилегий и усиления горизонтального (бокового) распространения. 1. Если пользователь, который вошел в систему на скомпрометированной или зараженной машине, относится к группе администраторов или запускает процесс с повышенными правами (например, с помощью команды runas), вредоносное ПО может использовать привилегии в токене доступа к процессу для повы- шения привилегий в системе и получения возможности выполнения заданий с такими привилегиями. 2. Для выявления процессов Windows с повышенными правами (обычно уровня SYSTEM) вредоносное ПО может использовать одно из нескольких API. Затем, получив токены доступа этих процессов, оно может использовать их для создания новых процессов. Такой новый процесс запускается от имени пользователя, указанного в токене, с полномочиями уровня SYSTEM. 3. Программы-зловреды также могут осуществлять имперсонацию (замену) токена. Эта атака предполагает клони- рование токена доступа процесса SYSTEM и преобразование его в токен заимствования прав с помощью соот- ветствующих функций Windows. Повысив привилегии таким способом, злоумыш- ленник может выполнять на зараженной машине команды от имени пользователя с правами SYSTEM. 4. Манипуляции с токенами позволяют вредоносному ПО использовать рекви- зиты входа пользователя, который уже зарегистрирован в системе, либо другого привилегированного пользователя для аутентификации на удаленном сетевом ресурсе и дальнейшего горизонтального продвижения по сети. 5. Такие техники атак позволяют обхо- дить средства защиты, включая UAC, списки управления доступом, эвристи- ческие методы обнаружения и обес- печивают более скрытое боковое рас- пространение программ-зловредов. Существуют решения, например McAfee On-Access-Scan, способные распознавать программы-зловреды такого вида. l Кража токенов доступа как способ повысить локальные привилегии ногие кибератаки, целью которых является причинение вреда сети, включают техники бокового смещения. После первичного заражения, чтобы распространяться дальше и скомпрометировать другие системы в сети, такому вредоносному ПО обычно необходимо выполнить задание или запустить команду с повышенной привилегией. По этой причине на одном из этапов горизонтального распространения данные программы обычно применяют какую-либо методику для повышения уровня прав и полномочий. М Сергей Меньшаков, инженер-пресейл направления McAfee Ваше мнение и вопросы присылайте по адресу is@groteck.ru 1 https://www.mcafee.com/enterprise/en-us/assets/reports/rp-access-token-theft- manipulation-attacks.pdf

RkJQdWJsaXNoZXIy Mzk4NzYw