Creare Processi con Token Altrui: Create Process with Token (T1134.002)

La creazione di processi con token altrui è una delle tecniche più immediate da replicare in laboratorio, perché sfrutta API e comandi nativi di Windows. Il punto di partenza è comprendere la catena: prima si ottiene un token, poi lo si usa per generare un nuovo processo.

Il modo più semplice per iniziare è il comando runas, integrato in ogni installazione Windows. Per lanciare un prompt dei comandi nel contesto di un altro utente locale, la sintassi è diretta:

runas /user:DOMINIO\utente cmd.exe

Questo richiede la password dell'utente target, ma dimostra il meccanismo fondamentale. In scenari red team più realistici si parte da un token già ottenuto. Con Cobalt Strike (a pagamento), dopo aver rubato un token tramite il comando steal_token, si può eseguire qualsiasi comando nel contesto dell'utente impersonato. La sequenza tipica prevede di identificare i processi con ps, selezionare un processo che gira come utente privilegiato e poi applicare steal_token <PID> seguito dal comando desiderato.

Con Metasploit Framework (open source), il modulo incognito permette di elencare i token disponibili sulla macchina compromessa e impersonarne uno:

use incognito list_tokens -u impersonate_token "NT AUTHORITY\SYSTEM" execute -f cmd.exe -i -t

Il flag -t è cruciale: indica a Meterpreter di creare il processo utilizzando il token impersonato.

Per chi preferisce PowerShell, Empire e PoshC2 (entrambi open source) offrono il cmdlet Invoke-RunAs, che wrappa la chiamata a CreateProcessWithTokenW. In Empire la sequenza prevede il caricamento del modulo di token manipulation e l'invocazione con le credenziali dell'utente target.

A livello di API Windows, un esercizio formativo consiste nello scrivere un piccolo programma C che chiama OpenProcess per ottenere un handle al processo target, poi OpenProcessToken per estrarre il token, DuplicateTokenEx per duplicarlo come token primario, e infine CreateProcessWithTokenW per lanciare il nuovo processo. Questo percorso ricalca esattamente quello che malware come Bankshot e Azorult implementano nelle loro routine.

Un caso particolarmente interessante da simulare è quello di WhisperGate: l'utilizzo di AdvancedRun.exe (un tool legittimo di NirSoft, gratuito) per eseguire comandi nel contesto del gruppo TrustedInstaller, un livello di privilegio superiore persino a SYSTEM. In laboratorio, si può replicare configurando AdvancedRun per eseguire sc.exe stop WinDefend con il parametro /RunAs 8, che corrisponde al contesto TrustedInstaller.

Per la fase di validazione, è essenziale verificare che il processo creato operi effettivamente nel contesto atteso. Lo strumento Process Explorer (gratuito, Sysinternals) mostra il SID e l'integrity level di ogni processo, confermando il successo dell'operazione.

La detection di questa tecnica si basa su un concetto centrale: individuare processi il cui contesto di sicurezza non corrisponde a quello del processo padre. È un mismatch che in condizioni normali si verifica raramente e in condizioni specifiche, il che rende possibile costruire alert con un tasso di falsi positivi gestibile.

Le log source fondamentali sono tre. Sysmon (open source, richiede installazione e configurazione) fornisce EventCode 1 (Process Create), che include i campi User, IntegrityLevel, ParentUser e ParentCommandLine. Il Security Event Log di Windows genera EventCode 4688 (A new process has been created), dove il campo SubjectUserSid del processo padre va confrontato con il TargetUserSid del processo figlio. Per la componente API, il provider ETW Microsoft-Windows-Kernel-Process cattura le chiamate di creazione processo con dettaglio sul token utilizzato.

La logica di correlazione segue la catena comportamentale descritta nel modello di detection: un evento di accesso a handle su processo sensibile (EventCode 4663 o Sysmon EventCode 10 con GrantedAccess che include 0x0400 — PROCESS_QUERY_INFORMATION), seguito entro una finestra di 5-10 minuti da un evento di creazione processo dove il SID o il LogonId figlio differisce dal padre.

I parametri di tuning sono determinanti per la qualità dell'alert. La lista AllowedImpersonators deve includere i binari che legittimamente creano processi con token altrui: il servizio PsExec di Sysinternals, gli agenti SCCM, i software di backup enterprise e i servizi di deployment. Senza questa whitelist, il volume di falsi positivi rende l'alert inutilizzabile.

Il parametro IntegrityEscalationDelta filtra i salti di integrity level significativi. Un passaggio da Medium a High è comune in scenari UAC legittimi, ma un salto da Medium a System è quasi sempre sospetto. Configurare la soglia minima su Medium→System riduce il rumore mantenendo la capacità di catturare le escalation più pericolose.

Un indicatore complementare riguarda il monitoraggio di runas.exe: ogni esecuzione genera un evento di logon di tipo 2 (Interactive) o tipo 9 (NewCredentials) nel Security Log (EventCode 4624). Se runas.exe viene invocato da un processo che non è explorer.exe o un terminale interattivo, la probabilità di attività malevola aumenta sensibilmente.

Per le soluzioni SIEM, una regola efficace correla Sysmon EventCode 1 con campo ParentUser ≠ User e IntegrityLevel in aumento, escludendo i percorsi binari presenti nella whitelist. In Splunk (a pagamento), questa correlazione si implementa con una saved search che confronta i campi estratti dal sourcetype XmlWinEventLog:Microsoft-Windows-Sysmon/Operational.

L'analisi forense di un attacco basato su token manipulation si concentra sulla ricostruzione della sequenza: chi ha ottenuto il token, da quale processo lo ha estratto, e cosa ha fatto il processo figlio con quei privilegi. Gli artefatti principali risiedono nel registro eventi, nella memoria e nei metadati del filesystem.

Il punto di partenza è il Security Event Log. L'evento 4624 con Logon Type 9 (NewCredentials) indica un accesso tramite runas /netonly o API equivalenti, dove il token di rete differisce da quello locale. L'evento 4648 (A logon was attempted using explicit credentials) è ancora più diretto: registra il processo chiamante, l'account di cui si utilizzano le credenziali e il server di destinazione. La correlazione tra i due eventi, tramite il campo LogonId, collega l'acquisizione del token alla creazione del processo.

Sysmon aggiunge profondità all'analisi. L'evento EventCode 10 (ProcessAccess) registra ogni apertura di handle verso un altro processo, includendo il tipo di accesso richiesto. Un GrantedAccess con valore 0x0400 (PROCESS_QUERY_INFORMATION) o 0x0040 (PROCESS_DUP_HANDLE) verso processi come lsass.exe, winlogon.exe o services.exe precede tipicamente la duplicazione del token. L'EventCode 1 successivo mostrerà il processo figlio con utente e integrity level diversi dal padre.

Nella ricostruzione della timeline, il forensic analyst deve cercare i gap temporali: se tra l'accesso all'handle e la creazione del processo passano millisecondi, è automazione (malware); se passano minuti, è un operatore umano. Questa distinzione aiuta a caratterizzare la minaccia.

Per i casi legati a WhisperGate, un artefatto specifico è la presenza del binario AdvancedRun.exe nella directory %TEMP%. L'analisi del prefetch file corrispondente (nella cartella C:\Windows\Prefetch) rivela i parametri di esecuzione e il timestamp. La presenza congiunta di AdvancedRun.exe e l'arresto del servizio WinDefend — visibile nell'evento 7045 (Service Install) o 7036 (Service State Change) del System Log — è un indicatore ad alta confidenza.

Per il malware KONNI, l'artefatto chiave è la sequenza token duplication → cmd.exe spawn. In un'immagine di memoria acquisita con Volatility 3 (open source), il plugin windows.pslist mostra la gerarchia dei processi, mentre windows.handles rivela i token associati a ciascun processo. Un'istanza di cmd.exe con un token SYSTEM il cui processo padre gira a integrity Medium è un'anomalia che salta all'occhio.

Sui sistemi dove Azorult o Bankshot hanno operato, la chiamata a WTSQueryUserToken lascia traccia nelle sessioni Terminal Services: l'evento 4778 (Session Reconnect) o 4779 (Session Disconnect) nel Security Log può indicare l'enumerazione delle sessioni interattive da cui viene estratto il token.

La creazione di processi con token altrui è una tecnica trasversale, utilizzata sia da gruppi APT nation-state sia da ransomware criminali. I profili che emergono dai dati rivelano pattern operativi distinti.

Turla (G0010) è uno dei gruppi di spionaggio più sofisticati attribuiti alla Russia. Le sue backdoor basate su RPC integrano la capacità di impersonare o rubare token di processo prima di eseguire comandi, una scelta architetturale che consente di operare nel contesto di utenti legittimi senza generare nuovi eventi di logon. Questa tecnica si inserisce in una catena più ampia dove la persistenza avviene tramite componenti RPC difficili da distinguere dai servizi di sistema. L'analista TI dovrebbe correlare qualsiasi evidenza di named pipe anomale o servizi RPC non standard con possibili attività di token manipulation.

Lazarus Group (G0032), attribuito alla Corea del Nord, utilizza un approccio diverso nel suo keylogger KiloAlfa: enumera i token delle sessioni interattive tramite API e poi chiama CreateProcessAsUserA per eseguire una nuova istanza di sé stesso nel contesto dell'utente intercettato. Questa tecnica serve un duplice scopo — persistenza e raccolta credenziali — perché il keylogger acquisisce l'input di tastiera dell'utente impersonato. Il pattern è coerente con l'interesse di Lazarus per il furto di credenziali finanziarie.

Sul fronte del software malevolo, i pattern si dividono in due categorie. I malware orientati allo spionaggio come Aria-body, PipeMon, TONESHELL e KONNI usano la tecnica per operare silenziosamente nel contesto di utenti legittimi, privilegiando la stealth. I malware distruttivi o ransomware come REvil e WhisperGate la usano in modo più aggressivo: REvil lancia una copia di sé stesso con privilegi amministrativi tramite runas, mentre WhisperGate sfrutta AdvancedRun.exe per raggiungere il contesto TrustedInstaller e disabilitare Windows Defender. Il pattern di WhisperGate è particolarmente rilevante perché utilizza un tool legittimo (living-off-the-land) anziché API dirette.

Per quanto riguarda i tool di offensive security, Empire e PoshC2 condividono lo stesso modulo Invoke-RunAs, suggerendo una base di codice comune nel panorama degli strumenti open source. ZxShell, associato storicamente ad attori cinesi, implementa un comando RunAs dedicato che indica quanto questa funzionalità sia considerata essenziale nel toolkit di qualsiasi operatore.

Il trend emergente mostra una convergenza: gruppi diversi per motivazione e area geografica adottano la stessa tecnica perché le API Windows che la abilitano sono native e difficili da rimuovere. La mitigazione passa necessariamente per la riduzione dei privilegi — limitare chi può creare token e chi può sostituire token a livello di processo tramite Group Policy — piuttosto che per il blocco delle API stesse.

Framework MITRE ATT&CK: T1134.002, TA0004, TA0005, G0010, G0032, S0344, S0501, S0378, S0456, S0496, S0412, S0689, S0356, S0239, S1239, S0363, M1026, M1018. Detection: DET0456, AN1253. Integrato con conoscenza professionale per tool e procedure operative.