Token Impersonation/Theft
Ver en attack.mitre.org →10 syscalls implementan esta técnica
- NtOpenProcessToken
Abre el token de acceso asociado a un proceso y devuelve un handle hacia él.
- NtOpenProcessTokenEx
Abre el token de acceso de un proceso permitiendo al llamante especificar atributos de handle como OBJ_INHERIT.
- NtAdjustPrivilegesToken
Habilita o deshabilita privilegios en un token de acceso especificado.
- NtAdjustGroupsToken
Habilita o deshabilita grupos (SIDs) en un token de acceso, o restaura los atributos de grupo a su estado por defecto.
- NtDuplicateToken
Crea un nuevo token de acceso que duplica un token existente, opcionalmente cambiando su tipo y nivel de impersonación.
- NtImpersonateAnonymousToken
Asigna el conocido token ANONYMOUS LOGON al hilo especificado.
- NtImpersonateThread
Hace que el hilo servidor impersone el contexto de seguridad del hilo cliente.
- NtImpersonateClientOfPort
LPC heredado: permite a un hilo servidor suplantar el contexto de seguridad del cliente que envió un mensaje de puerto.
- NtAlpcImpersonateClientOfPort
Primitiva principal de impersonación de un servidor ALPC — asume el contexto de seguridad del cliente que envió un mensaje.
- NtDuplicateObject
Duplica un handle desde un proceso origen a un proceso destino, ajustando opcionalmente el acceso o cerrando el origen.