Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1134 , T1134.001 , T1134.002 , T1134.003 , T1134.004 , T1134.005
Злоумышленники могут создать новый процесс с существующим токеном для повышения привилегий и обхода контроля доступа.Процессы могут быть созданы с маркером и результирующим контекстом безопасности другого пользователя с помощью таких функций, как CreateProcessWithTokenW и runas.(Цитата: Microsoft RunAs)
Создание процессов с маркером, не связанным с текущим пользователем, может потребовать учетных данных целевого пользователя, специальных привилегий для выдачи себя за этого пользователя или доступа к маркеру, который будет использоваться. Например, токен может быть продублирован через Token Impersonation/Theft или создан через Make and Impersonate Token перед использованием для создания процесса.
Хотя эта техника отличается от Token Impersonation/Theft, они могут использоваться совместно, когда токен дублируется, а затем используется для создания нового процесса.
https://attack.mitre.org/techniques/T1134/002
Визуализация смежных техник для T1134.002
| № | Техника |
|---|
