SeDebugPrivilege
SeDebugPrivilege 是什么?
SeDebugPrivilegeWindows 中极为强大的特权,允许持有者打开、读取并修改任意进程(包括 LSASS)的内存,是攻击者窃取凭据时的首选目标。
SeDebugPrivilege 是 Windows 在本地安全机构(LSA)中定义的特权。当进程令牌持有该特权时,可以以 PROCESS_ALL_ACCESS 打开任何进程或线程,包括 SYSTEM 拥有的进程。默认仅授予本地 Administrators 组及以 SYSTEM 运行的进程,微软在文档中明确指出该特权实际上等同于本机管理员权限。Mimikatz、用于转储 LSASS 的 ProcDump 以及 EDR 产品都需要此特权来进行内存检查。攻击者尤其青睐它:借助 SeDebugPrivilege,他们可以转储 LSASS、劫持令牌、注入受保护进程并禁用安全工具。防御方会监控 Windows 安全日志中的 4673/4703 令牌调整事件,启用 Credential Guard,并通过组策略移除该权限。
● 示例
- 01
攻击者在 Mimikatz 进程上启用 SeDebugPrivilege 并执行 sekurlsa::logonpasswords 转储 LSASS。
- 02
使用 ProcDump -ma 抓取 LSASS 内存转储,以便离线提取凭据。
● 常见问题
SeDebugPrivilege 是什么?
Windows 中极为强大的特权,允许持有者打开、读取并修改任意进程(包括 LSASS)的内存,是攻击者窃取凭据时的首选目标。 它属于网络安全的 身份与访问 分类。
SeDebugPrivilege 是什么意思?
Windows 中极为强大的特权,允许持有者打开、读取并修改任意进程(包括 LSASS)的内存,是攻击者窃取凭据时的首选目标。
SeDebugPrivilege 是如何工作的?
SeDebugPrivilege 是 Windows 在本地安全机构(LSA)中定义的特权。当进程令牌持有该特权时,可以以 PROCESS_ALL_ACCESS 打开任何进程或线程,包括 SYSTEM 拥有的进程。默认仅授予本地 Administrators 组及以 SYSTEM 运行的进程,微软在文档中明确指出该特权实际上等同于本机管理员权限。Mimikatz、用于转储 LSASS 的 ProcDump 以及 EDR 产品都需要此特权来进行内存检查。攻击者尤其青睐它:借助 SeDebugPrivilege,他们可以转储 LSASS、劫持令牌、注入受保护进程并禁用安全工具。防御方会监控 Windows 安全日志中的 4673/4703 令牌调整事件,启用 Credential Guard,并通过组策略移除该权限。
如何防御 SeDebugPrivilege?
针对 SeDebugPrivilege 的防御通常结合技术控制与运营实践,详见上方完整定义。
SeDebugPrivilege 还有哪些其他名称?
常见的别称包括: SeDebug, 调试程序权限。
● 相关术语
- identity-access№ 1162
令牌冒用(Token Impersonation)
Windows 上的提权技术(MITRE ATT&CK T1134),攻击者复制现有访问令牌并以另一用户的身份执行代码。
- identity-access№ 1194
用户账户控制(UAC)
Windows Vista 引入的安全特性,以受限令牌运行交互会话,并在执行管理员操作进行提权时弹窗要求确认或输入凭据。
- vulnerabilities№ 860
权限提升
一类漏洞,使攻击者获得超出原本授予的权限,例如从普通用户变为管理员。
- defense-ops№ 682
Mimikatz
开源 Windows 后渗透工具,从内存和 LSASS 中提取明文密码、哈希、Kerberos 票据等凭据。