Access Token Manipulation
Auf attack.mitre.org ansehen →18 Syscalls implementieren diese Technik
- NtOpenProcess
Öffnet ein Handle auf einen existierenden Prozess mit einer angeforderten Zugriffsmaske.
- NtOpenProcessToken
Öffnet das einem Prozess zugeordnete Zugriffstoken und gibt ein Handle darauf zurück.
- NtOpenProcessTokenEx
Öffnet das Zugriffstoken eines Prozesses und erlaubt dem Aufrufer, Handle-Attribute wie OBJ_INHERIT anzugeben.
- NtAdjustPrivilegesToken
Aktiviert oder deaktiviert Privilegien in einem angegebenen Zugriffstoken.
- NtAdjustGroupsToken
Aktiviert oder deaktiviert Gruppen (SIDs) in einem Access-Token oder setzt Gruppen-Attribute auf ihren Default-Zustand zurück.
- NtQueryInformationToken
Ruft eine angegebene Informationsklasse zu einem Zugriffstoken ab.
- NtSetInformationToken
Schreibt eine Token-Eigenschaft — Integritätslevel, Session-ID, Owner, Standard-DACL, Audit-Policy, Linked-Token.
- NtDuplicateToken
Erzeugt ein neues Zugriffstoken, das ein vorhandenes Token dupliziert und dabei optional Typ und Impersonations-Level ändert.
- NtFilterToken
Erzeugt eine eingeschränkte (gefilterte) Kopie eines bestehenden Access-Tokens durch Deaktivieren von SIDs, Entfernen von Privilegien oder Hinzufügen restricted SIDs.
- NtImpersonateAnonymousToken
Weist dem angegebenen Thread das bekannte ANONYMOUS-LOGON-Token zu.
- NtImpersonateThread
Lässt den Server-Thread den Sicherheitskontext des Client-Threads impersonieren.
- NtImpersonateClientOfPort
Veraltetes LPC: ermöglicht einem Server-Thread, den Sicherheitskontext des Clients zu imitieren, der eine Port-Nachricht sendete.
- NtCreateLowBoxToken
Leitet ein LowBox- (AppContainer-)Token aus einem bestehenden Token ab — setzt die Package-SID und Capability-Liste, die den Broker-IPC-Zugriff steuern.
- NtRevertContainerImpersonation
Setzt eine Server-Silo- / Argon-Container-Impersonation auf den Host-Sicherheitskontext zurück.
- NtPrivilegeObjectAuditAlarm
Emittiert einen Security-Eventlog-Eintrag, der die Nutzung eines oder mehrerer Privilegien an einem bestimmten Objekt meldet.
- NtAlpcOpenSenderProcess
Server-seitiger Helper, der ein HANDLE auf den Prozess öffnet, der eine bestimmte ALPC-Nachricht gesendet hat.
- NtAlpcOpenSenderThread
Server-seitiger Helper, der ein HANDLE auf den Thread öffnet, der eine bestimmte ALPC-Nachricht gesendet hat.
- NtOpenKeyEx
Erweiterte Variante von NtOpenKey mit OpenOptions — erforderlich für Symlink-Folgen und Backup-Semantik-Öffnung.