Token Impersonation

Windows 관리자 그룹/System 계정은 SeDebugPrivilege 권한을 가집니다. 이 권한은 다른 사용자의 프로세스를 디버깅 할 수 있으므로 자신이 실행한 프로세스가 아니더라도 ps 명령어로 열거할 수 있습니다.

Cobalt Strike처럼 내장된 토큰 탈취 기능이 있을 경우 프로세스 인젝션을 하지 않고도 해당 프로세스의 토큰을 탈취하여 클라이언트 가장이 가능합니다.

대상이 실행한 프로세스가 종료된다면 토큰이 만료되어 세션이 끊깁니다.

Abuse

Cobalt Strike
# 프로세스 열거
ps

# PID를 통해 사용자 토큰 탈취 및 가장
token-store steal 1590

Last updated

Was this helpful?