det0283-behavior-chain-detection-for-t1134-access-token-manipulation-on-windows

# DET0283 — Behavior-chain detection for T1134 Access Token Manipulation on Windows ## Descrição Esta estratégia detecta manipulação de tokens de acesso no Windows, uma técnica usada por adversários para elevar privilégios, impersonar outros usuários ou contornar controles de acesso sem necessidade de credenciais adicionais. As sub-técnicas incluem Token Impersonation/Theft (`T1134.001`), Create Process with Token (`T1134.002`) e Make and Impersonate Token (`T1134.003`). A abordagem de cadeia comportamental correlaciona múltiplos eventos: chamada de `OpenProcessToken`, `DuplicateTokenEx` ou `ImpersonateLoggedOnUser` seguida de criação de processo filho com contexto de segurança diferente do processo pai. APIs Windows como `SetThreadToken`, `CreateProcessWithToken` e `LogonUser` são os pontos de instrumentação primários via ETW (Event Tracing for Windows) ou drivers EDR. Indicadores de alta fidelidade incluem processos com baixa integridade que obtêm tokens de processos com integridade SYSTEM, e uso de `SeImpersonatePrivilege` por serviços não esperados. Ferramentas de pós-exploração como [[s0154-cobalt-strike|Cobalt Strike]] (comando `steal_token`) e [[mimikatz|Mimikatz]] (`token::elevaté`) automatizam este ataque, e grupos como [[g0016-apt29|APT29]] o utilizam para movimento lateral furtivo. ## Indicadores de Detecção - `OpenProcessToken` + `DuplicateTokenEx` seguido de `CreateProcessWithToken` em cadeia - Processo com integridade Média ou Baixa obtendo handle em processo SYSTEM - `SetThreadToken` chamado por processo não pertencente a subsistema de segurança (lsass, winlogon) - `SeImpersonatePrivilege` utilizado por processo de serviço não esperado - Criação de processo filho com SID de usuário diferente do processo pai - Uso de `runas` ou equivalente por processo não interativo ## Técnicas Relacionadas - [[t1134-access-token-manipulation|T1134 — Access Token Manipulation]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] ## Analytics Relacionadas - [[an0786-analytic-0786|AN0786 — Analytic 0786]] --- *Fonte: [MITRE ATT&CK — DET0283](https://attack.mitre.org/detectionstrategies/DET0283)*