权限克隆(Permission Cloning)是通过复制合法账户权限配置实现特权提升的隐蔽攻击技术。攻击者通过分析目标域内高价值账户的权限配置,在受控账户上创建具有相同安全标识符(SID)或组成员关系的虚拟权限结构,而非直接修改显式权限列表。该技术利用操作系统权限验证机制的漏洞,使受控账户在权限校验时被识别为高特权账户,同时避免在审计日志中留下显式的权限变更记录。
该技术的匿迹性源于对权限管理系统的逆向利用。攻击者首先通过横向移动获取域控服务器访问权限,提取目标高权限账户的访问控制项(ACE)和属性信息。随后在受控账户的安全描述符中注入克隆的权限配置,利用Windows安全参考监视器(SRM)的缓存机制绕过实时权限校验。克隆过程中保持原始权限结构的元数据特征(如修改时间戳同步),并规避敏感权限操作日志的生成。最终使得受控账户在权限使用层面与目标账户等效,但在审计追踪层面呈现为未授权变更的"合法"状态,实现权限提升的深度隐匿。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon