جعل/سرقت توکن
Token Impersonation/Theftتوضیحات
مهاجمان توکنهای دسترسی کاربران دیگر را سرقت میکنند تا با سطح دسترسی آنها عمل کنند. با استفاده از APIهایی مانند ImpersonateLoggedOnUser و DuplicateTokenEx، مهاجمان میتوانند توکن کاربران با سطح دسترسی بالاتر را جعل کنند.
روشهای شناسایی
نظارت بر فراخوانی ImpersonateLoggedOnUser و DuplicateTokenEx. شناسایی فرآیندهایی که با توکن کاربران دیگر اجرا میشوند. بررسی لاگهای امنیتی ویندوز. تحلیل رفتار فرآیندها.
روشهای مقابله
استفاده از Windows Defender Credential Guard. محدود کردن دسترسی به APIهای توکن. پیادهسازی حداقل سطح دسترسی. نظارت بر استفاده از توکنها. استفاده از EDR.
تکنیک اصلی
دستکاری توکن دسترسی
مهاجمان توکنهای دسترسی ویندوز را دستکاری میکنند تا با زمینه امنیتی کاربر یا سیستم دیگری عمل کنند. ویندوز از توکنهای دسترسی برای تعیین مالکیت فرآیند استفاده میکند. با سرقت یا جعل توکن، مهاجمان میتوانند سطح دسترسی خود را از مدیر به SYSTEM ارتقاء دهند.