当这种情况发生时，该进程还将采用与新令牌关联的安全上下文内容。例如，Microsoft提倡使用访问令牌作为安全性最佳实践。管理员应以标准用户身份登录，但使用内置访问令牌以管理员权限运行工具runas。

        攻击者可以使用访问令牌在不同的用户或系统安全上下文操作，进行攻击并逃避检测。攻击者可以使用内置的Windows API函数来复制现有进程中的访问令牌。这被称为令牌窃取。对手必须在特权用户（比如管理员）上下文中才能窃取令牌。然而，攻击者通常使用令牌窃取将其安全上下文从管理员级别提升到SYSTEM级别。如果帐户对远程系统具有适当的权限，那么攻击者就可以使用令牌向远程系统进行身份验证。

        攻击者一般会通过以下三种方法来利用访问令牌进行攻击：

• 令牌模拟/盗窃：对手创建一个新的访问令牌，用来复制现有令牌DuplicateToken(Ex)。然后将该令牌用于ImpersonateLoggedOnUser，允许调用线程模拟已登录用户的安全上下文，或者用于SetThreadToken将模拟令牌分配给线程。当目标用户在系统上具有非网络登录会话时，这种方法就很有用。

• 使用令牌创建流程 -攻击者使用DuplicateToken(Ex)创建一个新的访问令牌，然后再和CreateProcessWithTokenW一起使用，以在模拟用户安全上下文下创建新流程并运行。这对于在其他用户的安全上下文下创建新流程很有用。
  

• 制作和模拟令牌 -攻击者拥有用户名和密码，但用户未登录到系统。然后，对手可以使用该LogonUser功能为用户创建登录会话。该函数会反馈新会话的访问令牌副本，攻击者就可以SetThreadToken将令牌分配给线程。

        任何标准用户都可以使用runas命令和Windows API函数来创建模拟令牌。它不需要访问管理员帐户。

        Metasploit的Meterpreter有效负载允许任意令牌操作，并使用令牌模拟来提升特权。Cobalt Strike信标有效载荷允许模拟任意令牌，也可以创建令牌。

        如果攻击者使用的是标准命令行外壳，则分析人员可以通过审核命令行活动来检测令牌操纵的行为。具体地说，分析人员应寻找runas命令的使用。Windows在默认情况下不启用详细的命令行日志记录。

        如果攻击者直接调用Windows令牌API的有效负载，那么，分析人员只能通过仔细分析用户网络活动、检查运行的进程以及与其他端点和网络行为的关联来检测令牌操纵行为。

        有效负载可以利用许多Windows API调用来操纵访问令牌（例如LogonUser，DuplicateTokenEx和ImpersonateLoggedOnUser。请参阅参考的Windows API页面以获取更多信息。

        查询系统获取进程和线程的令牌信息，并查找其不一致之处，例如用户拥有模拟本地SYSTEM帐户的进程。

        云纷科技自成立以来，将“安全运营中心（SOC）”分层分解，以更灵活的模块化方式交付“下一代安全运营服务”，高效整合人、技术和流程，为不同的企业客户提供符合现状和中远期发展的安全运营能力。同时，以十年安全管理经验为依托，我们的安全托管服务（MSS）可以为企业提供7*24小时全天候安全保障，全面提高企业安全抵御能力，为抵抗威胁建立可靠屏障。

        云纷希望在为客户建立运营体系的同时，结合自身对于安全的理解和知识，协同利用开发能力、开发并调用各类自动以及半自动化工具，为客户提供最切合实际的安全运营服务，最终帮助用户清晰定位威胁、降低风险，提高整体安全水平。