ایجاد فرآیند با توکن
Create Process with Tokenتوضیحات
مهاجمان از API CreateProcessWithTokenW برای ایجاد فرآیندهای جدید با توکن کاربران دیگر استفاده میکنند. این تکنیک به مهاجمان اجازه میدهد فرآیندهایی با سطح دسترسی بالاتر ایجاد کنند بدون اینکه نیاز به اعتبارنامه کاربر داشته باشند.
روشهای شناسایی
نظارت بر فراخوانی CreateProcessWithTokenW. شناسایی فرآیندهایی با توکن متفاوت از فرآیند والد. بررسی لاگهای امنیتی ویندوز. تحلیل زنجیره فرآیندها.
روشهای مقابله
محدود کردن دسترسی به SeImpersonatePrivilege. پیادهسازی حداقل سطح دسترسی. نظارت بر ایجاد فرآیند. استفاده از EDR. استفاده از Windows Defender Credential Guard.
تکنیک اصلی
دستکاری توکن دسترسی
مهاجمان توکنهای دسترسی ویندوز را دستکاری میکنند تا با زمینه امنیتی کاربر یا سیستم دیگری عمل کنند. ویندوز از توکنهای دسترسی برای تعیین مالکیت فرآیند استفاده میکند. با سرقت یا جعل توکن، مهاجمان میتوانند سطح دسترسی خود را از مدیر به SYSTEM ارتقاء دهند.