Token Manipulation: উইন্ডোজের অ্যাক্সেস টোকেন ম্যানিপুলেট করে সাধারণ ব্যবহারকারী থেকে সিস্টেম অ্যাডমিন হওয়ার সাইবার কৌশল!

Windows-এ প্রতিটি securable object-এর সাথে একটি Security Descriptor যুক্ত, যা ACL (Access Control List)-এর মাধ্যমে কে কী access পাবে তা define করে। প্রতিটি running process-এর সাথে যুক্ত access token কয়েকটি field বহন করে-

• User SID: ব্যবহারকারীর Security Identifier।
• Group SIDs: ব্যবহারকারী যেসব group-এর সদস্য।
• Privileges: SeDebugPrivilege, SeImpersonatePrivilege, SeBackupPrivilege ইত্যাদি।
• Logon Session: কোন logon session-এ created।
• Integrity Level: Low, Medium, High, System (UAC-এর সাথে সম্পর্কিত)।
• Token Source: কোন subsystem-এর তৈরি।

দুই ধরনের token-

• Primary Token: process-এর প্রধান identity define করে। সাধারণত process creation-এর সময় assign।
• Impersonation Token: একটি thread temporarily অন্য user-এর identity ধারণ করতে পারে। ৪টি impersonation level — Anonymous, Identification, Impersonation, Delegation।

Win32 API-এ token-এর সাথে interact করার জন্য OpenProcessToken, OpenThreadToken, DuplicateToken, DuplicateTokenEx, ImpersonateLoggedOnUser, CreateProcessWithTokenW, SetThreadToken, LogonUser — এসব function ব্যবহৃত হয়।

Token Manipulation-এর সবচেয়ে বড় সুবিধা — কোনো credential চুরি করতে হয় না, কোনো password crack করতে হয় না। যদি একটি high-privilege user-এর token attacker-এর reach-এ থাকে (যেমন target machine-এ admin recently logged in ছিলেন), সেই token duplicate এবং impersonate করেই attacker সেই user-এর সম্পূর্ণ privilege ধার নিতে পারেন।

এছাড়াও token-based attack stealthy। Authentication event (Event ID 4624) generate হয় না নতুন logon-এর মতো, কারণ token already existing logon session থেকে derived। SOC analyst-এর জন্য detection comparatively কঠিন।

Token Impersonation

Attacker একটি existing process-এর token duplicate করে নিজের thread বা process-এ ব্যবহার করেন।

Workflow:

1. OpenProcess(PROCESS_QUERY_INFORMATION, FALSE, pid) — high-privilege process handle।
2. OpenProcessToken(hProc, TOKEN_DUPLICATE | TOKEN_QUERY, &hToken) — token handle।
3. DuplicateTokenEx(hToken, TOKEN_ALL_ACCESS, NULL, SecurityImpersonation, TokenPrimary, &hNewToken)।
4. CreateProcessWithTokenW(hNewToken, ..., "cmd.exe", ...) — new process under stolen identity।

এই workflow Cobalt Strike-এর steal_token command, Meterpreter-এর steal_token module-এ implemented।

SeImpersonatePrivilege Abuse

SeImpersonatePrivilege Windows-এর একটি sensitive privilege যা service account (LocalService, NetworkService, IIS application pool identity, SQL Server service account) সাধারণত ধারণ করে। এই privilege যে process হোল্ড করে, সে অন্য user-এর token impersonate করতে পারে।

Famous exploit family — "Potato attack" — এই privilege-এর misuse exploit করে।

• Hot Potato (2016): Windows update mechanism এবং NBNS spoofing-এর combination।
• Rotten Potato (2016): DCOM এবং NTLM relay।
• Juicy Potato (2018): DCOM activator with arbitrary CLSID।
• PrintSpoofer (2020): Print Spooler service-এর named pipe abuse।
• RoguePotato, JuicyPotatoNG, GodPotato (2022-2023): Print Spooler patch-এর পরে newer technique।
• EfsPotato, SharpEfsPotato: EFSRPC-এর abuse।

এই tool-গুলো IIS app pool বা SQL service-এ initial code execution থেকে SYSTEM privilege escalate করে। Penetration test report-এ এদের ক্রমাগত উপস্থিতি দেখা যায়।

Make Token

LogonUser API দিয়ে credential-base নতুন token তৈরি। যদি attacker-এর কাছে valid username/password থাকে, তাঁরা সেই credential-এ একটি new logon token তৈরি করতে পারেন।

LogonUser("domain\\user", NULL, "password", LOGON32_LOGON_NEW_CREDENTIALS, LOGON32_PROVIDER_DEFAULT, &hToken)

LOGON32_LOGON_NEW_CREDENTIALS flag বিশেষভাবে useful — এটি কেবল outbound authentication-এ token ব্যবহার করে, local validation skip করে। Cobalt Strike-এর make_token command এটি ব্যবহার করে।

Pass-the-Hash with Token

Mimikatz-এর sekurlsa::pth — যেখানে NTLM hash দিয়ে impersonation token তৈরি করা হয়। LSASS process-এ injected logon session-এ hash inject করে।

Pass-the-Ticket

Kerberos ticket (TGT বা service ticket) extract করে অন্য session-এ inject। Rubeus-এর Rubeus.exe ptt /ticket:...। Token impersonation-এর Kerberos variant।

Mimikatz

Benjamin Delpy-এর iconic tool। Token-related command-

• token::list — current process-এ accessible token list।
• token::elevate — SYSTEM token impersonate।
• token::run /user:DOMAIN\Administrator /process:cmd.exe — specific user-এর token দিয়ে process।
• privilege::debug — SeDebugPrivilege enable।

Cobalt Strike

Commercial red team C2। Token-related command-

• getsystem — multiple technique try করে SYSTEM token অর্জন।
• steal_token <pid> — specified process থেকে token steal।
• make_token <user> <pass> — credential থেকে token তৈরি।
• rev2self — original token restore।

Meterpreter (Metasploit)

• getsystem — SYSTEM escalation।
• steal_token <pid>।
• impersonate_token <user>।
• rev2self।

Incognito

Built into Metasploit। Token enumeration এবং impersonation-এর dedicated tool।

PrintSpoofer, GodPotato, JuicyPotatoNG

Specific privilege escalation tool যা SeImpersonatePrivilege exploit করে।

ধরা যাক একটি penetration test scenario-

1. Attacker phishing-এর মাধ্যমে regular user [email protected]-এর workstation-এ Meterpreter session পেয়েছেন।
2. ps command-এ run করে দেখা গেছে administrator [email protected]-ও সেই machine-এ logged in আছেন (remote support context-এ) — তাঁর explorer.exe PID 4528-এ চলছে।
3. getuid — current identity alice।
4. use incognito → list_tokens -u — available token check।
5. impersonate_token "CORP\\bob" — token impersonation।
6. getuid — এখন bob।
7. Bob domain admin হলে এখন domain-wide action সম্ভব।

এই scenario-তে কোনো password crack হয়নি, কোনো hash extract হয়নি — কেবল existing logon session-এর token reuse।

Linux-এ exact token concept নেই, কিন্তু similar concept — setuid/setgid bit, capability, user namespace।

• setuid/setgid binary abuse: vulnerable suid binary থেকে privilege escalation।
• sudo misconfiguration: NOPASSWD entries।
• Capability abuse: cap_dac_override, cap_sys_admin দিয়ে privilege bypass।
• Linux PEAS: enumeration tool।

macOS-এ — XPC service abuse, sandbox escape, TCC bypass — different mechanism কিন্তু similar end goal।

User Account Control (UAC) admin user-কে দুটি token দেয় — filtered (medium integrity) এবং elevated (high integrity)। UAC bypass technique attacker-কে user consent ছাড়াই elevated token-এ পৌঁছাতে দেয়। Common technique-

• Fodhelper, EventVwr, ComputerDefaults registry hijack।
• DLL hijacking in auto-elevate binary।
• CMSTPLUA COM hijack।

UACMe (GitHub-এর hfiref0x/UACME) এই technique-গুলোর comprehensive collection।

Token manipulation detect করা challenging কিন্তু impossible নয়। Detection technique-

Sysmon Event ID 1 + 10

Process creation (Event 1) এবং ProcessAccess (Event 10) event-এর সমন্বিত analysis। যদি একটি unprivileged process অন্য privileged process-এ 0x1000 (PROCESS_QUERY_LIMITED_INFORMATION) বা 0x40 (PROCESS_DUP_HANDLE) access নেয়, সেটি suspicious।

Token-Related Event

• Event ID 4672: special privileges assigned to new logon।
• Event ID 4673: privileged service called।
• Event ID 4624: logon success, particularly type 9 (NewCredentials)।

Behavioral Anomaly

Service account-এর under unusual child process — IIS Application Pool থেকে cmd.exe spawn, SQL service থেকে PowerShell — strong indicator।

EDR Telemetry

CrowdStrike, Microsoft Defender for Endpoint, SentinelOne — সবাই token manipulation pattern detection-এ specific rule include করে। Especially Potato-family exploitation।

Memory Forensics

LSASS access pattern (mimikatz-style), process token integrity check।

Sigma Rule

SigmaHQ-তে দ্বারা SeImpersonatePrivilege abuse, Potato exploit, Mimikatz token theft-এর জন্য rule available।

Principle of Least Privilege

Service account-এর SeImpersonatePrivilege strictly necessary basis-এ। যেকোনো service অযথা LocalSystem-এ run না করানো।

Credential Guard

Windows 10/11 Enterprise-এর Credential Guard — LSASS-কে virtualization-based security-এর মাধ্যমে protect করে। Token theft কিছুটা কঠিন হয়, যদিও PrintSpoofer-typed attack বাঁধা পায় না।

Protected Process Light (PPL)

Anti-malware service, LSASS — selected critical process PPL hierarchy-এ। Standard user থেকে memory injection বা token theft কঠিন।

Restricted Admin Mode

RDP-এর Restricted Admin Mode credential server-এ leave না করে, lateral movement risk কমায়।

LAPS (Local Administrator Password Solution)

Local administrator password randomization — lateral movement-এর সুযোগ কমায়।

JEA (Just Enough Administration)

PowerShell-এর JEA framework limited delegation — full admin token-এর প্রয়োজন কমায়।

EDR Deployment

Behavior-based EDR + kernel callback enable। Token manipulation pattern detect করে।

Patch Management

Print Spooler-related vulnerability, EFSRPC, DCOM-related fix timely apply।

Tiered Administration Model

Microsoft-এর Privileged Access Workstation (PAW) model — Tier 0 (domain admin), Tier 1 (server admin), Tier 2 (workstation admin) — strict separation।

Service Hardening

Service account isolation, virtual account (NT SERVICE\xxx), managed service account (MSA), group managed service account (gMSA)।

Monitoring এবং SOC

Sysmon comprehensive config, SIEM rule, Sigma rule deploy।

Nobellium/APT29-এর SolarWinds Sunburst campaign-এ extensive token manipulation observed। Compromised SolarWinds Orion-এর মাধ্যমে initial access-এর পর attacker-রা Service Principal Name (SPN) manipulation, Golden SAML attack, এবং token theft দিয়ে cloud environment-এ persist করেছিলেন।

LAPSUS$ group ২০২২-এ Microsoft, Okta, Nvidia, Samsung breach-এ session token-stealing infostealer (Raccoon, RedLine) + helpdesk social engineering combine করেছিল। Stolen session token দিয়ে MFA bypass।

Scattered Spider (UNC3944) MGM এবং Caesars hack-এ similar pattern — social engineering + token abuse।