Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1134 , T1134.001 , T1134.002 , T1134.003 , T1134.004 , T1134.005
Злоумышленники могут дублировать и выдавать себя за существующий токен другого пользователя для повышения привилегий и обхода контроля доступа. Например, злоумышленник может продублировать существующий токен с помощью `DuplicateToken` или `DuplicateTokenEx`.(Цитата: Функция DuplicateToken) Затем токен может быть использован с `ImpersonateLoggedOnUser`, чтобы позволить вызывающему потоку выдать себя за контекст безопасности вошедшего пользователя, или с `SetThreadToken`, чтобы присвоить токен, выданный за токен, потоку.
Злоумышленник может выполнить Token Impersonation/Theft, когда у него есть определенный, существующий процесс, которому он хочет присвоить дублированный токен. Например, это может быть полезно, когда целевой пользователь имеет несетевую сессию входа в систему.
Если злоумышленник хочет использовать дублированный токен для создания нового процесса, а не для присоединения к существующему процессу, он может дополнительно Create Process with Token использовать `CreateProcessWithTokenW` или `CreateProcessAsUserW`.Token Impersonation/Theft также отличается от Make and Impersonate Token тем, что относится к дублированию существующего токена, а не к созданию нового.
https://attack.mitre.org/techniques/T1134/001
Визуализация смежных техник для T1134.001
| № | Техника |
|---|
