Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1134 , T1134.001 , T1134.002 , T1134.003 , T1134.004 , T1134.005
Злоумышленники могут создавать новые токены и выдавать себя за пользователей, чтобы повысить привилегии и обойти средства контроля доступа. Например, если у злоумышленника есть имя пользователя и пароль, но пользователь не вошел в систему, он может создать сессию входа для пользователя с помощью функции `LogonUser`.(Цитата: функция LogonUserW) Функция вернет копию токена доступа новой сессии, и злоумышленник может использовать `SetThreadToken` для назначения токена потоку.
Это поведение отличается от Token Impersonation/Theft тем, что здесь речь идет о создании нового токена пользователя, а не о краже или дублировании существующего.
https://attack.mitre.org/techniques/T1134/003
Визуализация смежных техник для T1134.003
| № | Техника |
|---|
