Forwarded from OS Internals (Abolfazl Kazemi)
سرقت توکن پروسهها در ویندوز به کمک WinDbg
توکن یا به صورت کاملتر Access Token در ویندوز، یک شی است که شرایط امنیتی که یک پروسه یا نخ تحت آن میتوانند کار کنند را مشخص میکند. توکن با احراز هویت موفق یک کاربر ایجاد شده و هر پروسهای که توسط کاربر ایجاد شود، یک نسخه از آنرا خواهد داشت.
ویندوز از توکن در زمانیکه یک نخ تلاشی برای دسترسی به یک شی میکند استفاده میکند که کاربر را تشخیص داده و بررسی کند که آیا کاربر مجوز دسترسی به شی مورد نظر را دارد یا خیر. به عنوان مثال فرض کنید که با notepad قصد باز کردن یک فایل را داشته باشید. در این مثال پروسهی notepad توسط کاربر شما ایجاد شده و در نتیجه توکن آنرا خواهد داشت. شی مورد دسترسی نیز فایلی است که برای آن دسترسی خاصی تعریف شده و باید بررسی شود که آیا توکن مورد نظر مجوز دسترسی به فایل را دارد یا باید جلوی این دسترسی توسط ویندوز گرفته شود.
برخی از اطلاعاتی که توسط توکن مشخص میشوند عبارتند از: شناسه یا SID کاربر. شناسهی گروههایی که کاربر عضوی از آنهاست. شناسهی نشست جاری. لیستی از مجوزهایی که کاربر یا گروههای آن دارند.
یکی از کارهایی که با توکنها قابل انجام بوده و در سرویسها کاربرد زیادی دارد impersonation است. در این مدل، یک نخ با توکن متفاوتی از توکن اصلی خود اجرا شده و در نتیجه مجوزهای متفاوتی خواهد داشت. به عنوان مثال فرض کنید یک File Server دارید که فایلهای آن محدودیتهای دسترسی متفاوتی دارند. در این مثال، سرور با انجام impersonation درخواست هر کلاینت را با توکن همان کلاینت پاسخ داده و در نتیجه هر کاربر تنها به فایلهای خود دسترسی خواهد داشت.
یکی از کارهایی که بدافزارها از آن بهره میبرند همین بحث impersonation و دسترسی به منابع مختلف، مثل dump اطلاعات کاربران، است. در این حالت بدافزار توکن یک پروسه با دسترسی بالا را دزدیده و از آن برای مقاصد خود استفاده میکند.
در این ویدئو به کمک WinDbg مفهوم توکن و شیوهی دزدیدن و قرار دادن آن بر روی پروسهی دلخواهی شرح داده میشود که هم با موضوع توکن آشنا شده و هم به صورت عملی ببینیم که بدافزارها چطور میتوانند از impersonation سواستفاده کنند.
لینک ویدئو در یوتیوب:
https://youtu.be/NTPVeauBDe4
لینک ویدئو در آپارات:
https://www.aparat.com/v/cvyprh5
#ShortWinInternals #windows #internals #token #WinDbg #impersonation #kernel
توکن یا به صورت کاملتر Access Token در ویندوز، یک شی است که شرایط امنیتی که یک پروسه یا نخ تحت آن میتوانند کار کنند را مشخص میکند. توکن با احراز هویت موفق یک کاربر ایجاد شده و هر پروسهای که توسط کاربر ایجاد شود، یک نسخه از آنرا خواهد داشت.
ویندوز از توکن در زمانیکه یک نخ تلاشی برای دسترسی به یک شی میکند استفاده میکند که کاربر را تشخیص داده و بررسی کند که آیا کاربر مجوز دسترسی به شی مورد نظر را دارد یا خیر. به عنوان مثال فرض کنید که با notepad قصد باز کردن یک فایل را داشته باشید. در این مثال پروسهی notepad توسط کاربر شما ایجاد شده و در نتیجه توکن آنرا خواهد داشت. شی مورد دسترسی نیز فایلی است که برای آن دسترسی خاصی تعریف شده و باید بررسی شود که آیا توکن مورد نظر مجوز دسترسی به فایل را دارد یا باید جلوی این دسترسی توسط ویندوز گرفته شود.
برخی از اطلاعاتی که توسط توکن مشخص میشوند عبارتند از: شناسه یا SID کاربر. شناسهی گروههایی که کاربر عضوی از آنهاست. شناسهی نشست جاری. لیستی از مجوزهایی که کاربر یا گروههای آن دارند.
یکی از کارهایی که با توکنها قابل انجام بوده و در سرویسها کاربرد زیادی دارد impersonation است. در این مدل، یک نخ با توکن متفاوتی از توکن اصلی خود اجرا شده و در نتیجه مجوزهای متفاوتی خواهد داشت. به عنوان مثال فرض کنید یک File Server دارید که فایلهای آن محدودیتهای دسترسی متفاوتی دارند. در این مثال، سرور با انجام impersonation درخواست هر کلاینت را با توکن همان کلاینت پاسخ داده و در نتیجه هر کاربر تنها به فایلهای خود دسترسی خواهد داشت.
یکی از کارهایی که بدافزارها از آن بهره میبرند همین بحث impersonation و دسترسی به منابع مختلف، مثل dump اطلاعات کاربران، است. در این حالت بدافزار توکن یک پروسه با دسترسی بالا را دزدیده و از آن برای مقاصد خود استفاده میکند.
در این ویدئو به کمک WinDbg مفهوم توکن و شیوهی دزدیدن و قرار دادن آن بر روی پروسهی دلخواهی شرح داده میشود که هم با موضوع توکن آشنا شده و هم به صورت عملی ببینیم که بدافزارها چطور میتوانند از impersonation سواستفاده کنند.
لینک ویدئو در یوتیوب:
https://youtu.be/NTPVeauBDe4
لینک ویدئو در آپارات:
https://www.aparat.com/v/cvyprh5
#ShortWinInternals #windows #internals #token #WinDbg #impersonation #kernel
YouTube
Token Stealing using WinDbg in Local Kernel Debugging [PER]
توکن یا به صورت کاملتر Access Token در ویندوز، یک شی است که شرایط امنیتی که یک پروسه یا نخ تحت آن میتوانند کار کنند را مشخص میکند. توکن با احراز هویت موفق یک کاربر ایجاد شده و هر پروسهای که توسط کاربر ایجاد شود، یک نسخه از آنرا خواهد داشت.
ویندوز از…
ویندوز از…
❤13👍1🔥1