det0456-behavior-chain-detection-for-t1134002-create-process-with-token-windows

# DET0456 — Behavior-chain detection for T1134.002 Create Process with Token (Windows) ## Descrição A técnica T1134.002 envolve a criação de processos utilizando tokens de acesso de outros usuários — tipicamente com privilégios mais elevados — para executar código em contexto de identidade diferente. No Windows, funções como `CreateProcessWithTokenW` e `CreateProcessAsUserW` permitem que um processo com o privilégio `SeImpersonatePrivilege` ou `SeAssignPrimaryTokenPrivilege` inicie novos processos com o token de outro usuário, efetivamente realizando escalonamento de privilégios ou movimentação lateral. Adversários utilizam essa técnica para executar payloads com tokens de usuários privilegiados ou contas de serviço sem precisar conhecer as credenciais. Ferramentas como `incognito` (Metasploit), `Token Kidnapping` e técnicas de potato exploit (`Hot/Rotten/Juicy Potato`) exploram privilégios de impersonação para criar processos com tokens SYSTEM ou de Administradores. A detecção baseada em cadeia de comportamento é mais eficaz que a detecção de evento único: identificar a sequência de `OpenProcess` → `OpenProcessToken` → `DuplicateTokenEx` → `CreateProcessWithTokenW` por um processo não-sistema, especialmente quando o token duplicado pertence a um usuário mais privilegiado que o processo iniciador. ## Indicadores de Detecção - Cadeia de API: `OpenProcess` + `OpenProcessToken` + `DuplicateTokenEx` + `CreateProcessWithToken` em sequência rápida por processo não-sistema - Processo criado com `CreateProcessWithTokenW` onde o token de origem pertence a conta SYSTEM ou Administrador - Processo de baixo privilégio (usuário padrão) gerando filho com integridade de processo mais alta - Uso de `SeImpersonatePrivilege` ou `SeAssignPrimaryTokenPrivilege` por processo de serviço inesperado - Execução de `incognito` (módulo Metasploit), `token_manipulation` ou ferramentas Potato exploit - Evento Sysmon 1 com `IntegrityLevel=System` para processo filho de processo com `IntegrityLevel=Medium` ## Técnicas Relacionadas - [[T1134002-create-process-with-token|T1134.002 — Create Process with Token]] - [[t1134-access-token-manipulation|T1134 — Access Token Manipulation]] - [[T1134001-token-impersonation|T1134.001 — Token Impersonation/Theft]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1068-exploitation-for-privilege-escalation|T1068 — Exploitation for Privilege Escalation]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] ## Analytics Relacionadas - [[an1253-analytic-1253|AN1253 — Analytic 1253]] --- *Fonte: [MITRE ATT&CK — DET0456](https://attack.mitre.org/detectionstrategies/DET0456)*