دستکاری توکن دسترسی
Access Token Manipulationتوضیحات
مهاجمان توکنهای دسترسی ویندوز را دستکاری میکنند تا با زمینه امنیتی کاربر یا سیستم دیگری عمل کنند. ویندوز از توکنهای دسترسی برای تعیین مالکیت فرآیند استفاده میکند. با سرقت یا جعل توکن، مهاجمان میتوانند سطح دسترسی خود را از مدیر به SYSTEM ارتقاء دهند.
زیرتکنیکها (5)
مهاجمان توکنهای دسترسی کاربران دیگر را سرقت میکنند تا با سطح دسترسی آنها عمل کنند. با استفاده از APIهایی مانند ImpersonateLoggedOnUser و DuplicateTokenEx، مهاجمان میتوانند توکن کاربران با سطح دسترسی بالاتر را جعل کنند.
مهاجمان از API CreateProcessWithTokenW برای ایجاد فرآیندهای جدید با توکن کاربران دیگر استفاده میکنند. این تکنیک به مهاجمان اجازه میدهد فرآیندهایی با سطح دسترسی بالاتر ایجاد کنند بدون اینکه نیاز به اعتبارنامه کاربر داشته باشند.
مهاجمان از API LogonUser برای ایجاد توکن جدید با اعتبارنامههای شناخته شده استفاده میکنند و سپس با آن توکن جعل هویت میکنند. این تکنیک به مهاجمانی که اعتبارنامه کاربر هدف را دارند اجازه میدهد با سطح دسترسی آن کاربر عمل کنند.
مهاجمان شناسه فرآیند والد (PPID) فرآیندهای جدید را جعل میکنند تا از ابزارهای نظارت فرآیند فرار کنند یا سطح دسترسی را ارتقاء دهند. با استفاده از CreateProcess API و STARTUPINFOEX، مهاجمان میتوانند فرآیندی را به عنوان فرزند یک فرآیند با سطح دسترسی بالا ایجاد کنند.
مهاجمان SID-History attribute حسابهای Active Directory را دستکاری میکنند تا سطح دسترسی را ارتقاء دهند. SID-History برای migration حسابها بین دامنهها طراحی شده اما میتواند برای اضافه کردن SIDهای با سطح دسترسی بالا به حسابهای عادی استفاده شود.
روشهای شناسایی
نظارت بر فراخوانیهای API مرتبط با توکن دسترسی. شناسایی استفاده از توکنهای غیرعادی. بررسی فرآیندهایی که با توکن کاربران دیگر اجرا میشوند. تحلیل لاگهای امنیتی ویندوز.
روشهای مقابله
استفاده از Windows Defender Credential Guard. محدود کردن دسترسی به APIهای توکن. پیادهسازی حداقل سطح دسترسی. نظارت بر استفاده از توکنها. استفاده از EDR.