Детект повышения привилегий путем манипуляции с AccessToken

[driverenok]

Resolves #238

Разработано 2 правила:

1. Subrule_AutoElevate_detection - Вспомогательное, позволяет детектировать автоматическое повышения привилегий процессом (в т.ч. легитимное). Основано на следующий логике: каждый процесс, имеющий в манифесте исполняемого файла флаг AutoElevate, запускается дважды. Первый запуск происходит с токеном родительского процесса (ограниченным токеном), после чего процесс завершается, возвращая код STATUS_ELEVATION _REQUIRED. Второй запуск этого же процесса происходит с расширенным токеном.
2. UAC_bypass_via_AccessToken_manipulation - основано на последовательности событий Subrule_AutoElevate_detection -> Process Start, у которых одинаковый родительский процесс.
3. Модифицирована нормализация 4688.

Emulate:

git clone https://github.com/rootm0s/WinPwnage.git and install it
python .\main.py --use uac --id 11 --payload c:\windows\system32\cmd.exe

How it works:

cmd.exe (PID: 0xa18, SubjectName: Администратор, TokenElevationTypeLimited, LogonId: 0x3bc93)
└── py.exe(PID: 0x988, SubjectName: Администратор, TokenElevationTypeLimited, LogonId: 0x3bc93)
        └── python.exe (PID: 0x944, SubjectName: Администратор, TokenElevationTypeLimited, LogonId: 0x3bc93)
                 ├── wusa.exe (PID: 0x548, SubjectName: Администратор, TokenElevationTypeLimited, LogonId: 0x3bc93)
                    ---> ProcessTerminate(wusa.exe, EventId: 4689, PID: 0x548, ExitStatus: 0xc000042c - STATUS_ELEVATION _REQUIRED)
                 ├── wusa.exe (PID: 0xae0, SubjectName: WIN7-HACK$, TokenElevationTypeFull, LogonId: 0x3e7)
                    ---> hToken = NtOpenProcessToken (ProcessName: wusa.exe, DesiredAccess: 0x02000000)
                    ---> ProcessTerminate(EventId: 4689, wusa.exe, PID: 0xae0, ExitStatus: 0xffffffff)
                    ---> newToken = DuplicateTokenEx (hToken, DesiredAccess: TOKEN_ALL_ACCESS)
                    ---> ImpersonateLoggedOnUser(newToken)
                    ---> CreteProcessWithToken(u"aaa", u"bbb", u"ccc", LOGON_NETCREDENTIALS_ONLY, EventId: 4624, LogonType: 9, SubjectName = TargetName, SubjectLogonId != TargetLogonId, LogonProcessName: seclogo)
                 └── cmd.exe (PID: 0xb24, SubjectName: WIN7-HACK$, TokenElevationTypeDefault, LogonId: 0x3e7)