Token Impersonation/Theft
Auf attack.mitre.org ansehen →10 Syscalls implementieren diese Technik
- NtOpenProcessToken
Öffnet das einem Prozess zugeordnete Zugriffstoken und gibt ein Handle darauf zurück.
- NtOpenProcessTokenEx
Öffnet das Zugriffstoken eines Prozesses und erlaubt dem Aufrufer, Handle-Attribute wie OBJ_INHERIT anzugeben.
- NtAdjustPrivilegesToken
Aktiviert oder deaktiviert Privilegien in einem angegebenen Zugriffstoken.
- NtAdjustGroupsToken
Aktiviert oder deaktiviert Gruppen (SIDs) in einem Access-Token oder setzt Gruppen-Attribute auf ihren Default-Zustand zurück.
- NtDuplicateToken
Erzeugt ein neues Zugriffstoken, das ein vorhandenes Token dupliziert und dabei optional Typ und Impersonations-Level ändert.
- NtImpersonateAnonymousToken
Weist dem angegebenen Thread das bekannte ANONYMOUS-LOGON-Token zu.
- NtImpersonateThread
Lässt den Server-Thread den Sicherheitskontext des Client-Threads impersonieren.
- NtImpersonateClientOfPort
Veraltetes LPC: ermöglicht einem Server-Thread, den Sicherheitskontext des Clients zu imitieren, der eine Port-Nachricht sendete.
- NtAlpcImpersonateClientOfPort
Primäre Impersonation-Primitive eines ALPC-Servers — übernimmt den Sicherheitskontext des Clients, der eine Nachricht gesendet hat.
- NtDuplicateObject
Dupliziert ein Handle aus einem Quellprozess in einen Zielprozess, optional mit Anpassung der Zugriffsrechte oder Schließung der Quelle.