تزریق SID-History
SID-History Injectionتوضیحات
مهاجمان SID-History attribute حسابهای Active Directory را دستکاری میکنند تا سطح دسترسی را ارتقاء دهند. SID-History برای migration حسابها بین دامنهها طراحی شده اما میتواند برای اضافه کردن SIDهای با سطح دسترسی بالا به حسابهای عادی استفاده شود.
روشهای شناسایی
نظارت بر تغییرات SID-History در Active Directory. بررسی حسابهایی با SID-History غیرعادی. شناسایی ابزارهایی مانند Mimikatz که برای SID injection استفاده میشوند. تحلیل لاگهای Domain Controller.
روشهای مقابله
نظارت بر SID-History در AD. فعالسازی SID Filtering در trustهای دامنه. استفاده از Windows Defender Credential Guard. بررسی منظم SID-History حسابها. پیادهسازی Privileged Access Management.
تکنیک اصلی
دستکاری توکن دسترسی
مهاجمان توکنهای دسترسی ویندوز را دستکاری میکنند تا با زمینه امنیتی کاربر یا سیستم دیگری عمل کنند. ویندوز از توکنهای دسترسی برای تعیین مالکیت فرآیند استفاده میکند. با سرقت یا جعل توکن، مهاجمان میتوانند سطح دسترسی خود را از مدیر به SYSTEM ارتقاء دهند.