跨会话令牌桥接(Cross-Session Token Bridging)是针对多用户环境设计的横向移动匿迹技术。攻击者通过解析内核对象目录结构,定位其他用户会话的令牌对象,并利用进程迁移技术将当前攻击线程关联至目标令牌。该技术突破Windows会话隔离机制,实现不同安全域之间的权限渗透,同时保持攻击进程在原始会话中的低权限表象,形成"跨域隐身"的攻击效果。
该技术的隐蔽性建立在系统内部通信机制的滥用之上。攻击者首先通过命名管道或LPC端口获取目标会话的通信句柄,利用未公开的GDI对象共享接口提取远程会话令牌。技术实施过程中采用分阶段内存写入技术,逐步修改当前线程的令牌指针而不触发完整性校验。关键创新点在于创建虚拟化令牌描述符,使得安全审计系统在检查线程权限时,仅能观察到攻击者预设的伪装权限层级。这种机制成功规避了基于会话边界检测或令牌跨域访问告警的防御体系,为攻击者构建出贯穿多安全域的隐蔽通道。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon