Creare Processi con Token: Create Process with Token (T1134.002)

Per replicare questa tecnica in laboratorio, inizia con il comando Windows più semplice: runas /user:DOMAIN\Administrator cmd.exe. Questo richiede la password dell'utente target e apre una nuova shell con i suoi privilegi.

Se hai già un token duplicato o rubato tramite altre tecniche, puoi utilizzare l'API CreateProcessWithTokenW direttamente. Tool come Empire forniscono il modulo Invoke-RunAs che automatizza questo processo, mentre PoshC2 offre funzionalità simili per creare token e avviare processi.

Un approccio più sofisticato prevede l'uso di AdvancedRun.exe, come dimostrato dal malware WhisperGate: %TEMP%\AdvancedRun.exe" /EXEFilename "C:\Windows\System32\sc.exe" /WindowState 0 /CommandLine "stop WinDefend" /RunAs 8 /Run. Questo comando esegue operazioni nel contesto del gruppo TrustedInstaller, ottenendo privilegi massimi sul sistema.

Per testare la catena completa dell'attacco:

1. Duplica un token esistente usando tecniche di token theft
2. Utilizza CreateProcessAsUserA per creare il nuovo processo
3. Verifica che il processo figlio abbia ereditato il contesto di sicurezza desiderato controllando il suo Security Identifier (SID)

Il malware Bankshot dimostra un'implementazione pratica chiamando prima WTSQueryUserToken per ottenere il token di una sessione interattiva, poi CreateProcessAsUserA per eseguire codice in quel contesto. Azorult utilizza la stessa sequenza per ottenere privilegi di sistema locale.

Tool specializzati come ZxShell includono comandi dedicati (RunAs) che semplificano l'intero processo, mentre REvil utilizza questa tecnica per rilanciarsi con diritti amministrativi quando necessario per la cifratura dei file.

La detection comportamentale per questa tecnica richiede correlazione tra eventi multipli. Monitora le chiamate API a CreateProcessWithTokenW e CreateProcessAsUserA attraverso ETW (Event Tracing for Windows) o Sysmon.

Il pattern chiave da rilevare è quando un processo genera un figlio con SID o LogonId diversi. Configura alert quando l'integrity level salta significativamente, per esempio da Medium a System. Un delta minimo di due livelli di integrità riduce i falsi positivi.

Crea una whitelist di processi legittimi che usano queste API regolarmente: servizi PsExec, agenti SCCM, software di backup. Senza questa baseline, gli alert saranno ingestibili. Imposta una finestra di correlazione di 5-10 minuti tra l'accesso al token e la creazione del processo.

Presta particolare attenzione quando i processi target includono lsass.exe, winlogon.exe o services.exe. L'accesso ai loro token seguito dalla creazione di nuovi processi è quasi sempre malevolo. Configura score più alti per questi pattern.

I log critici includono:

• Windows Security EventLog: eventi 4688 (creazione processo) con token diverso dal parent
• Sysmon Event ID 1: mostra il processo creato con IntegrityLevel e User diversi
• ETW Provider Microsoft-Windows-Kernel-Process: cattura le chiamate API native

Per ridurre il rumore, implementa logica di correlazione che verifichi: parent process → API call → child process con contesto diverso. Solo questa sequenza completa dovrebbe generare un alert ad alta priorità.

Gli artefatti principali per ricostruire l'uso di questa tecnica si trovano nei Security Event Log di Windows. L'evento 4688 documenta ogni creazione di processo, includendo il TokenElevationType che indica se è stato usato un token impersonato.

Cerca discrepanze tra il SID del processo padre e quello del figlio nel campo SubjectUserSid vs TargetUserSid. Quando differiscono, hai evidenza di token manipulation. Il campo MandatoryLabel mostra l'integrity level, permettendoti di identificare escalation di privilegi.

Nel registro, le chiavi sotto HKLM\SYSTEM\CurrentControlSet\Services possono contenere tracce di servizi creati con token elevati. Verifica timestamp di creazione anomali correlati con gli eventi di processo.

Lazarus Group lascia tracce caratteristiche: il loro keylogger KiloAlfa chiama WTSQueryUserToken prima di CreateProcessAsUserA. Questa sequenza appare nei log ETW se abilitati. Cerca pattern simili per identificare famiglie di malware specifiche.

La timeline reconstruction deve collegare:

1. Momento dell'accesso iniziale al sistema
2. Duplicazione o furto del token (eventi 4656/4663 su oggetti token)
3. Creazione del processo con nuovo contesto (evento 4688)
4. Azioni successive eseguite dal processo elevato

Gli artefatti di Turla mostrano che i loro backdoor RPC impersonano token prima di eseguire comandi. Cerca comunicazioni RPC anomale precedenti alla creazione di processi privilegiati. Il malware PipeMon tenta ripetutamente l'impersonazione fino al successo, lasciando multiple tracce nei log di accesso negato prima del successo finale.

Turla implementa questa tecnica nei loro backdoor RPC per mantenere persistenza a lungo termine. Dopo aver rubato o impersonato token di processo, eseguono comandi nel contesto dell'utente vittima per mimetizzarsi nel traffico legittimo. La loro preferenza per RPC suggerisce che le prossime mosse includeranno lateral movement verso domain controller.

Lazarus Group utilizza un approccio più diretto con il keylogger KiloAlfa. Ottengono token da sessioni interattive tramite WTSQueryUserToken, poi creano processi con CreateProcessAsUserA. Questo pattern indica focus su workstation con utenti attivi piuttosto che server. Aspettati deployment di ransomware o data exfiltration dopo aver ottenuto privilegi elevati.

L'overlap nei tool mostra convergenza tattica: Empire, PoshC2 e KONNI implementano tutti funzionalità simili per token creation. Questo suggerisce che la tecnica è matura e affidabile across different threat actors. WhisperGate ha innovato utilizzando AdvancedRun.exe per ottenere privilegi TrustedInstaller, trend che probabilmente vedremo adottato da altri gruppi.

Pattern geografici emergono dall'analisi: gruppi dell'Europa orientale (Turla) preferiscono approcci stealth via RPC, mentre attori dell'Asia orientale (Lazarus) sono più diretti nelle loro implementazioni. Questa differenza riflette diversi obiettivi operativi e tolerance al rischio di detection.

I tool commerciali di ransomware come REvil hanno standardizzato l'uso di runas per privilege escalation automatica. Prevedi che future varianti includeranno multiple tecniche di token manipulation per garantire successo anche con mitigazioni parziali. Il trend verso "Ransomware-as-a-Service" porterà questa capability anche ad attori meno sofisticati.

Tecnica documentata nel MITRE ATT&CK framework come T1134.002. Riferimenti alle campagne di Turla e Lazarus Group basati su threat intelligence report pubblici. Detection guidance derivata da comportamenti osservati di WhisperGate, REvil e altri malware documentati.