window 흔히 사용되는 권한

프로세스 토큰에 권한이 존재하면 아래의 방법들로 활성화 할 수 있다.

 

1. Default 활성화 : 로컬 보안 정책(Local Security Policy; LSP)는 프로세스가 시작될 때 기본적으로 활성화하도록 지정할 수 있다.

2. 상속 : 따로 명시하지 않은 경우, 자식 프로세스는 부모로부터 상속받는다. 이때 부모는 보안 컨텍스트를 생성자

3. 명시적인 활성화 : AdjustTokenPrivileges API를 통해서 명시적으로 권한을 활성화할 수 있다.

 

* 아래는 명시적인 권한들에 대한 것들이다.

SeBackupPrivilege : 파일에 대한 읽기 권한을 허가. (공격자는 잠김 파일을 복사하기 위해 이 권한을 활용). 

파일 시스템에서 지정된 접근 제어 목록(Access Control List - ACL)에 상관 없다.

 

SeDebugPrivilege : 다른 프로세스의 전용 메모리 공간에 읽거나 쓰기를 허용. (악성 코드가 일반적으로 프로세스를 분리하는 보안 경계를 우회할 수 있도록 하여, 실제 사용자 모드로부터 코드를 삽입하는 모든 악성 코드가 이 권한의 활성화에 의존)

 

SeLoadDriverPrivilege : 커널 드라이버의 로드나 언로드를 허용.

 

SeChangeNotifyPrivilege : 호출자가 특정 파일이나 디렉토리가 변경될 때, 실행되는 콜백 함수를 등록하는 것을 허용.

(공격자는 이를 안티바이러스나 관리자에 의해 그들의 설정 파일이나 실행 파일이 제거될 때 이를 즉시 파악하는 용도)

 

SeShutdownPrivilege : 호출자가 시스템을 재시작하거나 종료되는 것을 허용. 

(마스터 부트 레코드(Master Boot Record)를 수정하는 감염은 시스템의 다음 부팅시까지 활성화되지 않는다. 그렇기에 재시작을 호출하여 수동으로 재시작을 빠르게 하려는 시도.)