det0482-behavior-chain-detection-for-t1134001-access-token-manipulation-token-im

# DET0482 — Behavior-chain detection for T1134.001 Access Token Manipulation: Token Impersonation/Theft on Windows ## Descrição A impersonação e roubo de tokens de acesso do Windows é uma técnica de escalada de privilégios que permite a adversários assumir o contexto de segurança de outro usuário ou processo, incluindo contas privilegiadas como SYSTEM ou administradores de domínio. Usando APIs como `ImpersonateLoggedOnUser`, `SetThreadToken` ou `DuplicateTokenEx`, processos com privilégio `SeImpersonatePrivilege` podem obter e usar tokens de alta integridade. Essa técnica é classificada como [[T1134.001-access-token-manipulation-token-impersonation|T1134.001]] no MITRE ATT&CK. A detecção via cadeia de comportamento foca na sequência: processo com privilégio moderado abrindo handle para processo de alta integridade → chamada de API de duplicação de token → criação de processo filho com nível de integridade elevado inconsistente com o processo pai. Ferramentas de pós-exploração como [[s0154-cobalt-strike|Cobalt Strike]] (módulo `getuid`/`steal_token`), [[mimikatz|Mimikatz]] e módulos de impersonação em frameworks de red team exploram rotineiramente essa técnica para escalada de privilégios lateral. O monitoramento de eventos de auditoria de criação de processos (Event ID 4688) com informações de nível de integridade, combinado com logs de auditoria de uso de privilégios (Event ID 4673/4674), permite identificar padrões anômalos de impersonação que desviam do baseline de comportamento de processos legítimos do sistema. ## Indicadores de Detecção - Processo de integridade média abrindo handle para processo SYSTEM com `PROCESS_QUERY_INFORMATION` - Chamadas às APIs `DuplicateTokenEx` ou `ImpersonateLoggedOnUser` por processos fora dos sistemas de autenticação legítimos - Criação de processo filho com token de integridade mais alta que o processo pai (anomalia de herança) - Event ID 4673 (uso de privilégio sensível) gerado por processos não administrativos - `SeImpersonatePrivilege` utilizado por processo que não é serviço IIS, SQL Server ou similar - Processo de injeção (`CreateRemoteThread`, `NtCreateThreadEx`) precedendo evento de impersonação de token - Conta de serviço executando operações administrativas em horários ou hosts fora do padrão ## Técnicas Relacionadas - [[T1134.001-access-token-manipulation-token-impersonation|T1134.001 — Token Impersonation/Theft]] - [[t1134-access-token-manipulation|T1134 — Access Token Manipulation]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] ## Analytics Relacionadas - [[an1324-analytic-1324|AN1324 — Analytic 1324]] --- *Fonte: [MITRE ATT&CK — DET0482](https://attack.mitre.org/detectionstrategies/DET0482)*