Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1134 , T1134.001 , T1134.002 , T1134.003 , T1134.004 , T1134.005
Злоумышленники могут изменять маркеры доступа, чтобы работать под другим контекстом безопасности пользователя или системы для выполнения действий и обхода контроля доступа. Windows использует маркеры доступа для определения права собственности на запущенный процесс. Пользователь может манипулировать маркерами доступа, чтобы заставить запущенный процесс выглядеть так, будто он является дочерним процессом другого процесса или принадлежит кому-то другому, а не пользователю, который запустил этот процесс. Когда это происходит, процесс также принимает контекст безопасности, связанный с новым маркером.
Злоумышленник может использовать встроенные функции Windows API для копирования маркеров доступа из существующих процессов; это называется кражей маркера. Затем эти маркеры могут быть применены к существующему процессу (например, Token Impersonation/Theft) или использованы для порождения нового процесса (например, Create Process with Token). Для кражи токена злоумышленник должен уже находиться в контексте привилегированного пользователя (например, администратора). Однако Злоумышленники обычно используют кражу маркера, чтобы поднять свой контекст безопасности с уровня администратора до уровня SYSTEM.Затем Злоумышленник может использовать маркер для аутентификации в удаленной системе в качестве учетной записи для этого маркера, если эта учетная запись имеет соответствующие разрешения в удаленной системе.(Цитата: Pentestlab Token Manipulation)
Любой обычный пользователь может использовать команду runas и функции Windows API для создания маркеров имперсонации; для этого не требуется доступ к учетной записи администратора.Существуют и другие механизмы, например поля Active Directory, которые можно использовать для изменения токенов доступа.
https://attack.mitre.org/techniques/T1134
Визуализация смежных техник для T1134
| № | Техника |
|---|
