Access Tokens
WhiteIntel は、ダークウェブを活用した検索エンジンで、企業やその顧客が スティーラーマルウェアによって 侵害されたかどうかを確認する 無料の機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃に対抗することです。
彼らのウェブサイトをチェックして、無料でエンジンを試すことができます:
アクセス トークン
システムにログインした各ユーザーは、そのログオンセッションのセキュリティ情報を持つアクセス トークンを保持しています。ユーザーがログオンすると、システムはアクセス トークンを作成します。ユーザーの代理で実行されるすべてのプロセスには、アクセス トークンのコピーがあります。 トークンには、ユーザー、ユーザーのグループ、およびユーザーの特権が識別されます。 トークンには、現在のログオンセッションを識別するログオンSID(セキュリティ識別子)も含まれています。
この情報は、whoami /all
を実行して確認できます。
または、Sysinternalsの_Process Explorer_を使用する(プロセスを選択して"Security"タブにアクセス):
ローカル管理者
ローカル管理者がログインすると、2つのアクセス トークンが作成されます:1つは管理者権限を持ち、もう1つは通常の権限を持ちます。デフォルトでは、このユーザーがプロセスを実行するときは、通常(管理者でない)権限を使用します。このユーザーが管理者として何かを実行しようとすると(たとえば"管理者として実行")、UACが許可を求めるために使用されます。 UACについて詳しく学びたい場合は、このページを読んでください。
資格情報ユーザーの偽装
他のユーザーの有効な資格情報を持っている場合、それらの資格情報で新しいログオン セッションを作成できます:
アクセス トークン には、LSASS 内のログオン セッションの 参照 も含まれています。これは、プロセスがネットワークのオブジェクトにアクセスする必要がある場合に役立ちます。 次の方法で、ネットワーク サービスにアクセスするために 異なる資格情報を使用するプロセス を起動できます:
トークンの種類
利用可能な2種類のトークンがあります:
プライマリトークン:プロセスのセキュリティ資格情報の表現として機能します。プライマリトークンの作成とプロセスへの関連付けは昇格された特権を必要とするアクションであり、特権の分離の原則を強調しています。通常、認証サービスがトークンの作成を担当し、ログオンサービスがユーザーのオペレーティングシステムシェルとの関連付けを処理します。プロセスは作成時に親プロセスのプライマリトークンを継承します。
模倣トークン:サーバーアプリケーションが一時的にクライアントのアイデンティティを採用して安全なオブジェクトにアクセスするための権限を与えます。このメカニズムは次の4つの操作レベルに分層されます:
匿名:未識別のユーザーと同様のサーバーアクセスを許可します。
識別:オブジェクトアクセスに使用せずにクライアントのアイデンティティをサーバーが確認できるようにします。
模倣:サーバーがクライアントのアイデンティティの下で動作できるようにします。
委任:模倣に似ていますが、サーバーが対話するリモートシステムにこのアイデンティティ仮定を拡張し、資格情報の保持を確保します。
トークンの模倣
十分な特権がある場合、metasploitのincognitoモジュールを使用して他のトークンを簡単にリストおよび模倣できます。これは他のユーザーであるかのようにアクションを実行するのに役立ちます。このテクニックを使用して特権を昇格することもできます。
トークン特権
特権を濫用して特権を昇格させるために濫用できるトークン特権を学びます:
pageAbusing TokensLast updated