Token Impersonation/Theft
Voir sur attack.mitre.org →10 syscalls implémentent cette technique
- NtOpenProcessToken
Ouvre le jeton d'accès associé à un processus et renvoie un handle vers celui-ci.
- NtOpenProcessTokenEx
Ouvre le jeton d'accès d'un processus en permettant à l'appelant de spécifier des attributs de handle tels que OBJ_INHERIT.
- NtAdjustPrivilegesToken
Active ou désactive des privilèges dans un jeton d'accès spécifié.
- NtAdjustGroupsToken
Active ou désactive des groupes (SIDs) dans un token d'accès, ou réinitialise les attributs aux valeurs par défaut.
- NtDuplicateToken
Crée un nouveau jeton d'accès dupliquant un jeton existant, en modifiant éventuellement son type et son niveau d'impersonation.
- NtImpersonateAnonymousToken
Affecte le jeton bien connu ANONYMOUS LOGON au thread spécifié.
- NtImpersonateThread
Fait impersonner par le thread serveur le contexte de sécurité du thread client.
- NtImpersonateClientOfPort
LPC hérité : permet à un thread serveur d'usurper le contexte de sécurité du client ayant envoyé un message de port.
- NtAlpcImpersonateClientOfPort
Primitive d'impersonation principale d'un serveur ALPC — endosse le contexte de sécurité du client ayant envoyé un message.
- NtDuplicateObject
Duplique un handle d'un processus source vers un processus cible, avec ajustement éventuel des accès ou fermeture de la source.