ساخت و جعل توکن
Make and Impersonate Tokenتوضیحات
مهاجمان از API LogonUser برای ایجاد توکن جدید با اعتبارنامههای شناخته شده استفاده میکنند و سپس با آن توکن جعل هویت میکنند. این تکنیک به مهاجمانی که اعتبارنامه کاربر هدف را دارند اجازه میدهد با سطح دسترسی آن کاربر عمل کنند.
روشهای شناسایی
نظارت بر فراخوانی LogonUser و ImpersonateLoggedOnUser. شناسایی ورودهای با نوع Logon مشکوک. بررسی لاگهای احراز هویت. تحلیل رفتار فرآیندها.
روشهای مقابله
استفاده از Windows Defender Credential Guard. محدود کردن دسترسی به APIهای توکن. پیادهسازی MFA. نظارت بر رویدادهای Logon. استفاده از EDR.
تکنیک اصلی
دستکاری توکن دسترسی
مهاجمان توکنهای دسترسی ویندوز را دستکاری میکنند تا با زمینه امنیتی کاربر یا سیستم دیگری عمل کنند. ویندوز از توکنهای دسترسی برای تعیین مالکیت فرآیند استفاده میکند. با سرقت یا جعل توکن، مهاجمان میتوانند سطح دسترسی خود را از مدیر به SYSTEM ارتقاء دهند.