Детект повышения привилегий путем манипуляции с AccessToken #350

driverenok · 2023-07-25T19:55:13Z

Resolves #238

Разработано 2 правила:

Subrule_AutoElevate_detection - Вспомогательное, позволяет детектировать автоматическое повышения привилегий процессом (в т.ч. легитимное). Основано на следующий логике: каждый процесс, имеющий в манифесте исполняемого файла флаг AutoElevate, запускается дважды. Первый запуск происходит с токеном родительского процесса (ограниченным токеном), после чего процесс завершается, возвращая код STATUS_ELEVATION _REQUIRED. Второй запуск этого же процесса происходит с расширенным токеном.
UAC_bypass_via_AccessToken_manipulation - основано на последовательности событий Subrule_AutoElevate_detection -> Process Start, у которых одинаковый родительский процесс.
Модифицирована нормализация 4688.

Emulate:

git clone https://github.com/rootm0s/WinPwnage.git and install it
python .\main.py --use uac --id 11 --payload c:\windows\system32\cmd.exe

How it works:

cmd.exe (PID: 0xa18, SubjectName: Администратор, TokenElevationTypeLimited, LogonId: 0x3bc93)
└── py.exe(PID: 0x988, SubjectName: Администратор, TokenElevationTypeLimited, LogonId: 0x3bc93)
        └── python.exe (PID: 0x944, SubjectName: Администратор, TokenElevationTypeLimited, LogonId: 0x3bc93)
                 ├── wusa.exe (PID: 0x548, SubjectName: Администратор, TokenElevationTypeLimited, LogonId: 0x3bc93)
                    ---> ProcessTerminate(wusa.exe, EventId: 4689, PID: 0x548, ExitStatus: 0xc000042c - STATUS_ELEVATION _REQUIRED)
                 ├── wusa.exe (PID: 0xae0, SubjectName: WIN7-HACK$, TokenElevationTypeFull, LogonId: 0x3e7)
                    ---> hToken = NtOpenProcessToken (ProcessName: wusa.exe, DesiredAccess: 0x02000000)
                    ---> ProcessTerminate(EventId: 4689, wusa.exe, PID: 0xae0, ExitStatus: 0xffffffff)
                    ---> newToken = DuplicateTokenEx (hToken, DesiredAccess: TOKEN_ALL_ACCESS)
                    ---> ImpersonateLoggedOnUser(newToken)
                    ---> CreteProcessWithToken(u"aaa", u"bbb", u"ccc", LOGON_NETCREDENTIALS_ONLY, EventId: 4624, LogonType: 9, SubjectName = TargetName, SubjectLogonId != TargetLogonId, LogonProcessName: seclogo)
                 └── cmd.exe (PID: 0xb24, SubjectName: WIN7-HACK$, TokenElevationTypeDefault, LogonId: 0x3e7)

…ed and tested

….fullpath и object.parent.process.fullpath больше не применяется функция lower()

…сто него разработано Subrule_AutoElevate_detection.

…manipulation rules

driverenok added 9 commits June 19, 2023 17:47

Commit after subrule Subrule_CreateProcess_with_DifferentTokens creat…

9db0dc5

…ed and tested

Updated subrule Subrule_CreateProcess_with_DifferentTokens

b5da667

Commit after rule AccessTokenManipulation_via_Consent created and tested

5429e19

Обновлена нормализация для WinEventLog 4688. Для полей object.process…

3ffc3e9

….fullpath и object.parent.process.fullpath больше не применяется функция lower()

Commit after rule Subrule_AutoElevate_detection created and tested

c6a2d72

Удалено правило Subrule_CreateChildProcess_with_DifferentTokens. Заме…

531425b

…сто него разработано Subrule_AutoElevate_detection.

Updated rule Subrule_AutoElevate_detection

70b8bb9

Added rule UAC_bypass_via_AccessToken_manipulation

32ee2ae

Updated Subrule_AutoElevate_detection and UAC_bypass_via_AccessToken_…

ed80898

…manipulation rules

aw350m33d marked this pull request as draft June 20, 2024 14:54

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

Детект повышения привилегий путем манипуляции с AccessToken #350

Детект повышения привилегий путем манипуляции с AccessToken #350

driverenok commented Jul 25, 2023

Детект повышения привилегий путем манипуляции с AccessToken #350

Are you sure you want to change the base?

Детект повышения привилегий путем манипуляции с AccessToken #350

Conversation

driverenok commented Jul 25, 2023

Emulate:

How it works: