Access Token Manipulation
Voir sur attack.mitre.org →18 syscalls implémentent cette technique
- NtOpenProcess
Ouvre un handle vers un processus existant avec un masque d'accès demandé.
- NtOpenProcessToken
Ouvre le jeton d'accès associé à un processus et renvoie un handle vers celui-ci.
- NtOpenProcessTokenEx
Ouvre le jeton d'accès d'un processus en permettant à l'appelant de spécifier des attributs de handle tels que OBJ_INHERIT.
- NtAdjustPrivilegesToken
Active ou désactive des privilèges dans un jeton d'accès spécifié.
- NtAdjustGroupsToken
Active ou désactive des groupes (SIDs) dans un token d'accès, ou réinitialise les attributs aux valeurs par défaut.
- NtQueryInformationToken
Récupère une classe d'information spécifiée sur un jeton d'accès.
- NtSetInformationToken
Écrit une propriété d'un token d'accès — niveau d'intégrité, session id, owner, DACL par défaut, politique d'audit, token lié.
- NtDuplicateToken
Crée un nouveau jeton d'accès dupliquant un jeton existant, en modifiant éventuellement son type et son niveau d'impersonation.
- NtFilterToken
Crée une copie restreinte (filtrée) d'un token d'accès existant en désactivant des SID, supprimant des privilèges ou ajoutant des SID restreints.
- NtImpersonateAnonymousToken
Affecte le jeton bien connu ANONYMOUS LOGON au thread spécifié.
- NtImpersonateThread
Fait impersonner par le thread serveur le contexte de sécurité du thread client.
- NtImpersonateClientOfPort
LPC hérité : permet à un thread serveur d'usurper le contexte de sécurité du client ayant envoyé un message de port.
- NtCreateLowBoxToken
Dérive un token LowBox (AppContainer) à partir d'un token existant — fixe le SID de package et les capabilities qui régulent l'accès au broker IPC.
- NtRevertContainerImpersonation
Restaure le contexte de sécurité hôte après une impersonation de Server Silo / conteneur Argon.
- NtPrivilegeObjectAuditAlarm
Émet une entrée du journal Sécurité signalant l'utilisation d'un ou plusieurs privilèges sur un objet spécifique.
- NtAlpcOpenSenderProcess
Helper côté serveur qui ouvre un HANDLE vers le processus ayant envoyé un message ALPC donné.
- NtAlpcOpenSenderThread
Helper côté serveur qui ouvre un HANDLE vers le thread ayant envoyé un message ALPC donné.
- NtOpenKeyEx
Variante étendue de NtOpenKey avec OpenOptions — requise pour suivre les liens symboliques et l'ouverture en sémantique backup.