det0498-behaviorchain-detection-for-t1134003-make-and-impersonate-token-windows

# DET0498 — Behavior‑chain detection for T1134.003 Make and Impersonate Token (Windows) ## Descrição A técnica "Make and Impersonate Token" permite que adversários com o privilégio `SeCreateTokenPrivilege` criem tokens de acesso do Windows arbitrários, incluindo tokens com SIDs de grupos privilegiados como Domain Admins, sem necessidade de conhecer a senha da conta alvo. Usando a API `ZwCreateToken` ou `NtCreateToken` (chamadas nativas não documentadas), é possível criar tokens que concedem acesso privilegiado a recursos do sistema. Essa técnica é mapeada como [[T1134.003-access-token-manipulation-make-and-impersonate-token|T1134.003]] no MITRE ATT&CK. Diferente do roubo de token convencional (T1134.001), que requer a presença de um token privilegiado existente para copiar, esta variante permite a criação sintética de tokens com qualquer configuração desejada. O privilégio `SeCreateTokenPrivilege` é extremamente raro e normalmente limitado ao processo LSASS e ao Local Security Authority. Qualquer processo além desses que detenha e utilize esse privilégio é um indicador crítico de comprometimento. A detecção via cadeia de comportamento monitora: uso do privilégio `SeCreateTokenPrivilege` (Event ID 4673) → criação de token via chamada nativa → impersonação do token criado → acesso a recursos com o novo contexto de segurança. Ferramentas avançadas de pós-exploração de grupos APT nação-estado e red teams especializados podem incluir módulos que exploram essa técnica para escalada de privilégios furtiva. ## Indicadores de Detecção - Event ID 4673 registrando uso do privilégio `SeCreateTokenPrivilege` por processo que não é `lsass.exe` - Chamadas à API `ZwCreateToken` ou `NtCreateToken` por processo de nível de integridade médio ou baixo - Processo criando token com SIDs de grupos Domain Admins ou Enterprise Admins sem autenticação Kerberos correspondente - Impersonação de token seguida de acesso a recursos de domínio com credenciais que não passaram por autenticação - Processo com `SeCreateTokenPrivilege` em contexto onde o privilégio não foi concedido por configuração legítima - Cadeia de comportamento: escalada de privilégio local → obtenção de SeCreateTokenPrivilege → criação de token sintético → acesso lateral - Acesso a controlador de domínio ou recursos críticos por processo que não utilizou autenticação Kerberos/NTLM normal ## Técnicas Relacionadas - [[T1134.003-access-token-manipulation-make-and-impersonate-token|T1134.003 — Make and Impersonate Token]] - [[t1134-access-token-manipulation|T1134 — Access Token Manipulation]] - [[T1134.001-access-token-manipulation-token-impersonation|T1134.001 — Token Impersonation/Theft]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[t1055-process-injection|T1055 — Process Injection]] ## Analytics Relacionadas - [[an1375-analytic-1375|AN1375 — Analytic 1375]] --- *Fonte: [MITRE ATT&CK — DET0498](https://attack.mitre.org/detectionstrategies/DET0498)*