← Retour à l'index malware
FIN7
Les attributions s'appuient sur des rapports publics. Une famille listée signifie qu'au moins une fiche syscall la cite ; son absence n'implique pas un non-usage.
4 syscalls cités
- NtOpenProcessToken
Ouvre le jeton d'accès associé à un processus et renvoie un handle vers celui-ci.
- NtQueryInformationToken
Récupère une classe d'information spécifiée sur un jeton d'accès.
- NtImpersonateThread
Fait impersonner par le thread serveur le contexte de sécurité du thread client.
- NtDuplicateObject
Duplique un handle d'un processus source vers un processus cible, avec ajustement éventuel des accès ou fermeture de la source.