# T1134 - Access Token Manipulation > [!info] Identificação MITRE ATT&CK > **Tática:** Defense Evasion / Privilege Escalation · **ID:** T1134 · **Plataforma:** Windows > **Sub-técnicas:** [[t1134-001-token-impersonationtheft|T1134.001]] · [[t1134-002-create-process-with-token|T1134.002]] · [[t1134-003-make-and-impersonate-token|T1134.003]] · [[t1134-004-parent-pid-spoofing|T1134.004]] · [[t1134-005-sid-history-injection|T1134.005]] ## Descrição **T1134 - Access Token Manipulation** é uma técnica de **evasão de defesa e escalação de privilégios** que explora o mecanismo central de controle de acesso do Windows: os **access tokens**. Todo processo no Windows carrega um token de acesso que determina a identidade de segurança do processo, seus privilégios e grupos de segurança associados. Ao manipular esses tokens, adversários conseguem operar sob contextos de segurança diferentes do usuário que iniciou o ataque - frequentemente elevando de Administrador para SYSTEM, ou assumindo a identidade de outros usuários autenticados no sistema. A técnica é dual em sua classificação MITRE: serve tanto como **Defense Evasion** (o processo malicioso parece pertencer a outro usuário ou serviço legítimo, dificultando atribuição e detecção) quanto como **Privilege Escalation** (permite obter níveis de acesso superiores). Esta dualidade a torna particularmente valiosa para adversários em estágios pós-exploração. O Windows expõe APIs nativas - `OpenProcessToken`, `DuplicateTokenEx`, `ImpersonateLoggedOnUser`, `CreateProcessWithTokenW` - que tornam a manipulação de tokens acessível programaticamente. Embora algumas operações exijam o privilégio `SeImpersonatePrivilege` ou `SeAssignPrimaryTokenPrivilege` (geralmente presentes em contas de serviço e administradores), outras podem ser realizadas por usuários padrão mediante o comando `runas`. Esta técnica é amplamente implementada em frameworks de pós-exploração como [[s0363-empire|Empire]], [[s0154-cobalt-strike|Cobalt Strike]], [[s0633-sliver|Sliver]] e ferramentas de red team como [[s0194-powersploit|PowerSploit]], tornando-a uma das técnicas mais prevalentes em avaliações de segurança ofensiva e em comprometimentos reais. ## Sub-técnicas - [[Theft]] - [[t1134-002-create-process-with-token|T1134.002 - Creaté Process with Token]] - [[t1134-003-make-and-impersonate-token|T1134.003 - Make and Impersonaté Token]] - [[t1134-004-parent-pid-spoofing|T1134.004 - Parent PID Spoofing]] - [[t1134-005-sid-history-injection|T1134.005 - SID-History Injection]] ## Como Funciona ### Arquitetura de Tokens no Windows O Windows utiliza tokens de acesso como principal mecanismo de controle de acesso. Cada token contém: - **SID do usuário** - identidade principal - **SIDs de grupo** - grupos de segurança aos quais o usuário pertence - **Privilégios** - capacidades especiais (SeDebugPrivilege, SeImpersonatePrivilege, etc.) - **Nível de integridade** - Low, Medium, High, System (Mandatory Integrity Control) - **Tipo de token** - Primary (processo) ou Impersonation (thread) ### Fluxo de Token Stealing (T1134.001) 1. Adversário com privilégios de administrador lista processos em execução 2. Identifica processo com token desejado (ex: `lsass.exe` rodando como SYSTEM) 3. Abre o processo com `OpenProcess(PROCESS_QUERY_INFORMATION, ...)` 4. Extrai o token com `OpenProcessToken(hProcess, TOKEN_DUPLICATE, ...)` 5. Duplica o token com `DuplicateTokenEx(...)` como token de impersonação 6. Aplica o token à thread atual com `ImpersonateLoggedOnUser(hToken)` ou cria novo processo ### Escalação Administrator → SYSTEM A escalação de Administrador para SYSTEM é o caso de uso mais comum de T1134 em ataques reais: ``` Administrador Local → OpenProcess(lsass.exe) → DuplicateToken → ImpersonateLoggedOnUser → SYSTEM ``` Uma vez com token SYSTEM, o adversário pode: - Acessar segredos do LSASS sem restrições de integridade - Criar serviços e modificar chaves de registro protegidas - Contornar controles UAC completamente - Acessar qualquer arquivo no sistema independentemente de ACLs ### Parent PID Spoofing (T1134.004) Técnica frequentemente combinada com a anterior para ocultar a árvore de processos: 1. Adversário cria processo malicioso com `STARTUPINFOEXA.lpAttributeList` 2. Define `PROC_THREAD_ATTRIBUTE_PARENT_PROCESS` apontando para `explorer.exe` ou `svchost.exe` 3. O processo malicioso aparece nos logs como filho de um processo legítimo 4. Ferramentas de análise baseadas em árvore de processos são enganadas ## Attack Flow ```mermaid graph TB A([Adversário - acesso inicial<br/>Usuário comum ou admin]) --> B{Nível de privilégio atual} B --> C[Usuário padrão<br/>runas ou LogonUser] B --> D[Administrador local<br/>Acesso a tokens de outros processos] C --> E[T1134.003 - Make and Impersonaté Token<br/>Criar token com credenciais conhecidas] D --> F[T1134.001 - Token Impersonation/Theft<br/>Roubar token de processo privilegiado] D --> G[T1134.002 - Creaté Process with Token<br/>Novo processo com token de SYSTEM] D --> H[T1134.004 - Parent PID Spoofing<br/>Ocultar árvore de processos] F --> I[Token SYSTEM obtido<br/>via lsass.exe ou winlogon.exe] G --> I E --> J[Token de outro usuário<br/>Autenticado no sistema] H --> K[Processo malicioso aparece<br/>como filho de explorer.exe] I --> L[Escalação completa<br/>Administrador → SYSTEM] J --> M[Movimentação lateral<br/>Impersonação de usuário de domínio] K --> N[Evasão de detecção<br/>behavioral tree analysis bypassed] L --> O[Dump de credenciais via LSASS<br/>T1003.001] L --> P[Modificação de registro / serviços<br/>Persistência privilegiada] M --> Q[Acesso a recursos de rede<br/>como usuário legítimo] N --> R[Execução persistente<br/>Baixo ruído nos logs] O --> S([Comprometimento total<br/>do ambiente]) P --> S Q --> S R --> S style A fill:#c0392b,color:#fff style I fill:#e74c3c,color:#fff style L fill:#e74c3c,color:#fff style S fill:#8e44ad,color:#fff style N fill:#27ae60,color:#fff style K fill:#27ae60,color:#fff ``` ## Exemplos de Uso por Atores Reais ### Grupos APT > [!example] Lotus Blossom - Espionagem em Sudeste Asiático e LATAM > O grupo [[g0030-raspberry-typhoon|Lotus Blossom]] (também conhecido como Spring Dragon, APT41 adjacente), com nexo à China, utiliza manipulação de tokens como técnica padrão de escalação de privilégios em campanhas de espionagem. O malware [[s1210-sagerunex|Sagerunex]], associado ao grupo, implementa token stealing para operar como SYSTEM durante exfiltração de dados. O grupo tem histórico de alvos em setores governamentais e de defesa, incluindo presença documentada em campanhas que afetaram a América Latina. > [!example] FIN6 - Ataques a PDV e Setor Financeiro > O grupo financeiramente motivado [[g0037-fin6|FIN6]] emprega token manipulation como parte de sua cadeia de ataque contra sistemas de ponto de venda (PDV) e ambientes de e-commerce. A técnica é usada para elevar privilégios em sistemas Windows comprometidos e acessar processos de memória onde dados de cartão de pagamento são processados sem criptografia. O FIN6 tem histórico documentado de ataques contra varejistas e processadoras de pagamento, categorias com forte presença no Brasil. > [!example] Blue Mockingbird - Cryptojacking com Token Escalation > O grupo [[g0108-blue-mockingbird|Blue Mockingbird]] combina T1134 com exploração de vulnerabilidades de deserialização para elevar de contexto de aplicação web para SYSTEM, instalando mineradores de criptomoeda (Monero) em servidores Windows. A técnica permite que o minerador rode como serviço privilegiado, dificultando remoção por operadores sem contexto SYSTEM. ### Malware e Ferramentas | Software | Implementação de T1134 | Contexto | |---------|----------------------|---------| | [[s0154-cobalt-strike\|Cobalt Strike]] | Comando `steal_token <PID>` - roubo de token de processo | Framework C2 amplamente usado em APT e cibercrime | | [[s0363-empire\|Empire]] | Módulo `credentials/tokens` com `Invoke-TokenManipulation` | Framework PowerShell de pós-exploração | | [[s0633-sliver\|Sliver]] | Comandos `impersonate`, `getsystem` via token duplication | C2 open-source, alternativa ao Cobalt Strike | | [[s0194-powersploit\|PowerSploit]] | `Invoke-TokenManipulation` - escalação token-based | Toolkit ofensivo PowerShell | | [[s0038-duqu\|Duqu]] | Impersonação de usuários para acesso a compartilhamentos de rede | Malware de espionagem (nexo israelense/ocidental) | | [[qilin\|Qilin]] | Token manipulation para desabilitar defesas como SYSTEM | Ransomware-as-a-Service com afiliados LATAM | | [[s0562-sunspot\|SUNSPOT]] | Impersonação de contexto de build para injetar backdoor | Implante usado no ataque SolarWinds supply chain | ## Detecção ### Indicadores de Comprometimento (IoCs Comportamentais) - Chamada a `OpenProcessToken` em processos privilegiados por processos não-sistema - `DuplicateTokenEx` seguido de `CreateProcessWithTokenW` fora de contextos legítimos - Processo com parent PID diferente do esperado (ex: `cmd.exe` filho de `svchost.exe` genérico) - Evento de logon tipo 9 (NewCredentials) sem correspondência de logon interativo - Acesso a `lsass.exe` via `OpenProcess` com direitos `PROCESS_QUERY_INFORMATION` ### Regra Sigma - Token Impersonation via OpenProcessToken ```yaml title: T1134.001 - Suspicious Token Impersonation via Win32 API id: 4f2a8c1d-9e3b-4a7f-b5c2-1d8e6a3f9b2c status: stable description: > Detecta acesso a tokens de processos privilegiados por processos não-sistema, indicativo de T1134 Access Token Manipulation. references: - https://attack.mitre.org/techniques/T1134/ - https://posts.specterops.io/understanding-and-defending-against-access-token-manipulation-ef7945b76e8a author: RunkIntel Detection Engineering daté: 2026-03-25 tags: - attack.defense_evasion - attack.privilege_escalation - attack.t1134.001 logsource: category: process_access product: windows definition: Requires Sysmon Event ID 10 (ProcessAccess) detection: selection: TargetImage|endswith: - '\lsass.exe' - '\winlogon.exe' - '\services.exe' GrantedAccess|contains: - '0x1400' # TOKEN_QUERY + TOKEN_QUERY_SOURCE - '0x1fffff' # PROCESS_ALL_ACCESS filter_legit: SourceImage|startswith: - 'C:\Windows\System32\' - 'C:\Windows\SysWOW64\' SourceImage|endswith: - '\MsMpEng.exe' - '\csrss.exe' - '\smss.exe' condition: selection and not filter_legit falsepositives: - Software de segurança legítimo com acesso ao LSASS - Ferramentas de diagnóstico de suporte Microsoft level: high ``` ### Regra Sigma - Parent PID Spoofing ```yaml title: T1134.004 - Suspicious Parent PID Spoofing id: 2b9e5f3a-7c1d-4e8b-a6f2-9d4c3b1e8a7f status: experimental description: > Detecta processos criados com PID pai que não corresponde ao processo real que os iniciou, indicativo de Parent PID Spoofing. references: - https://attack.mitre.org/techniques/T1134/004/ author: RunkIntel Detection Engineering daté: 2026-03-25 tags: - attack.defense_evasion - attack.t1134.004 logsource: category: process_creation product: windows definition: Requires Sysmon with ParentProcessId tracking detection: selection: # Processos filhos suspeitos de explorer.exe ou svchost.exe genérico ParentImage|endswith: - '\explorer.exe' - '\svchost.exe' Image|endswith: - '\powershell.exe' - '\cmd.exe' - '\mshta.exe' - '\wscript.exe' - '\cscript.exe' - '\rundll32.exe' filter_expected: # Comandos legítimos filhos do explorer.exe CommandLine|contains: - 'C:\Windows\explorer.exe' condition: selection and not filter_expected falsepositives: - Lançadores de aplicação legítimos que usam CreateProcess com parent explícito - Instaladores de software level: medium ``` ### Fontes de Dados Recomendadas | Fonte | Event ID | Detalhe | |-------|----------|---------| | Sysmon | 10 (ProcessAccess) | Acesso a processos com tokens privilegiados | | Sysmon | 1 (ProcessCreaté) | Criação de processo com rastreamento de parent real | | Windows Security | 4624 | Logon type 9 (NewCredentials) - token sintético | | Windows Security | 4648 | Logon com credenciais alternativas explícitas | | Windows Security | 4672 | Atribuição de privilégios especiais no logon | | ETW (Microsoft-Windows-Security-Auditing) | - | Rastreamento detalhado de chamadas de API de token | ## Mitigação | ID | Mitigação | Implementação | Eficácia | |----|-----------|---------------|---------| | [[m1018-user-account-management\|M1018]] | User Account Management | Limitar usuários com `SeImpersonatePrivilege` e `SeAssignPrimaryTokenPrivilege` apenas a serviços que genuinamente necessitam | Alta | | [[m1026-privileged-account-management\|M1026]] | Privileged Account Management | Usar contas de serviço gerenciadas (gMSA) em vez de contas de usuário com senhas estáticas; segmentar contas admin por função | Alta | | M1017 | User Training | Conscientizar sobre phishing que resulta em comprometimento inicial necessário para T1134 | Baixa (não previne, reduz vetor inicial) | | M1032 | Multi-factor Authentication | MFA não impede T1134 diretamente, mas reduz risco de comprometimento inicial que precede o token stealing | Baixa (indireta) | > [!warning] Limitação de Controles Técnicos > T1134 é inerentemente difícil de mitigar porque explora **funcionalidade legítima do Windows**. As APIs de token são necessárias para serviços legítimos (IIS, SQL Server, agentes de backup). A abordagem mais eficaz é detecção comportamental em vez de bloqueio - combinada com princípio do menor privilégio para reduzir o impacto de um token comprometido. ## Contexto Brasil/LATAM A manipulação de access tokens é uma técnica de alta relevância no cenário de ameaças brasileiro, principalmente em dois vetores: **1. Ransomware e Extorsão Financeira** Grupos de ransomware como [[lockbit|LockBit]] e [[qilin|Qilin]] - ambos com afiliados documentados operando contra alvos brasileiros - utilizam T1134 para elevar privilégios e desabilitar soluções de segurança (frequentemente em combinação com [[t1562-001-disable-tools|T1562.001]]). O CERT.br registra incidentes trimestrais de ransomware em que a cadeia de exploração inclui token escalation como etapa pré-criptografia. **2. Ataques a Sistemas Financeiros e Bancos** O setor financeiro brasileiro - alvejado historicamente por grupos como [[g0037-fin6|FIN6]] e variantes de trojans bancários locais - é particularmente vulnerável a T1134 em ambientes Windows com múltiplos usuários autenticados simultaneamente (servidores de aplicação, terminais de caixa, sistemas de PDV). A impersonação de usuários de serviço bancário via token theft permite acesso a dados de transação sem necessidade de credenciais adicionais. > [!tip] Recomendação para Equipes de Defesa no Brasil > A habilitação do **Credential Guard** no Windows (disponível a partir do Windows 10 Enterprise e Windows Server 2016) isola o LSASS em um processo VTL1 separado, tornando o token stealing via acesso direto ao LSASS significativamente mais difícil. Esta é a contramedida técnica mais eficaz contra T1134.001 em ambientes modernos e deve ser priorizada por setores financeiro e de infraestrutura crítica no Brasil. **Ferramentas usadas por red teams brasileiros:** - [[s0363-empire|Empire]] com módulo `Invoke-TokenManipulation` - amplamente ensinado em cursos de segurança ofensiva no Brasil - [[s0154-cobalt-strike|Cobalt Strike]] - presente em múltiplos incidentes de APT e cibercrime investigados por CERTs brasileiros - [[s0633-sliver|Sliver]] - alternativa open-source crescente na comunidade de pentest nacional ## Referências - [MITRE ATT&CK - T1134](https://attack.mitre.org/techniques/T1134) - [MITRE ATT&CK - T1134.001 Token Impersonation/Theft](https://attack.mitre.org/techniques/T1134/001/) - [MITRE ATT&CK - T1134.004 Parent PID Spoofing](https://attack.mitre.org/techniques/T1134/004/) - [SpecterOps - Understanding and Defending Against Access Token Manipulation](https://posts.specterops.io/understanding-and-defending-against-access-token-manipulation-ef7945b76e8a) - [Microsoft - Token-Based Attacks](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4624) - [Red Canary - Token Manipulation Threat Detection](https://redcanary.com/threat-detection-report/techniques/access-token-manipulation/) - [CERT.br - Relatório de Incidentes de Segurança no Brasil](https://www.cert.br/stats/) --- *Fonte: [MITRE ATT&CK - T1134](https://attack.mitre.org/techniques/T1134) · Versão MITRE: 16.2*