İmtiyazların artırılması sistemə əlavə, adətən daha yüksək səviyyəli giriş əldə etmək üçün təcavüzkarın hesabın cari hüquqlarından istifadə etməsidir. İmtiyazların yüksəldilməsi sıfır gün zəifliklərindən istifadənin və ya hədəflənmiş hücum həyata keçirən birinci dərəcəli hakerlərin işi və ya yaxşı maskalanmış zərərli proqram təminatının nəticəsi ola bilsə də, bu, çox vaxt kompüterin və ya hesabın yanlış konfiqurasiyası ilə bağlıdır. Hücumu daha da inkişaf etdirərək, təcavüzkarlar bir sıra fərdi zəifliklərdən istifadə edirlər ki, bu da birlikdə fəlakətli məlumat sızmasına səbəb ola bilər.
Niyə istifadəçilər yerli administrator hüquqlarına malik olmamalıdırlar?
Əgər siz təhlükəsizlik mütəxəssisisinizsə, istifadəçilərin yerli administrator hüquqlarının olmaması açıq-aydın görünə bilər, belə ki:
- Onların hesablarını müxtəlif hücumlara qarşı daha həssas edir
- Eyni hücumları daha şiddətli edir
Təəssüf ki, bir çox təşkilatlar üçün bu, hələ də çox mübahisəli məsələdir və bəzən qızğın müzakirələrlə müşayiət olunur (məsələn, bax:
Addım 1 PowerShell ilə DNS həllini əks etdirin
Varsayılan olaraq, PowerShell bir çox yerli iş stansiyalarında və əksər Windows serverlərində quraşdırılmışdır. Mübaliğəsiz olmasa da, o, inanılmaz dərəcədə faydalı avtomatlaşdırma və idarəetmə vasitəsi hesab edilsə də, eyni dərəcədə özünü görünməz bir alətə çevirməyə qadirdir.
Bizim vəziyyətimizdə təcavüzkar PowerShell skriptindən istifadə edərək şəbəkə kəşfiyyatını həyata keçirməyə başlayır, ardıcıl olaraq şəbəkənin IP ünvan məkanında təkrarlanır, verilmiş IP-nin hosta həll olub-olmadığını və əgər belədirsə, bu hostun şəbəkə adının nə olduğunu müəyyən etməyə çalışır.
Bu tapşırığı yerinə yetirməyin bir çox yolu var, lakin cmdletdən istifadə etməklə
import-module activedirectory Get-ADComputer -property * -filter { ipv4address -eq ‘10.10.10.10’}
Böyük şəbəkələrdə sürət problemdirsə, DNS geri çağırışı istifadə edilə bilər:
[System.Net.Dns]::GetHostEntry(‘10.10.10.10’).HostName
Şəbəkədə hostların siyahıya alınmasının bu üsulu çox populyardır, çünki əksər şəbəkələr sıfır etibarlı təhlükəsizlik modelindən istifadə etmir və şübhəli fəaliyyət partlayışları üçün daxili DNS sorğularına nəzarət etmir.
Addım 2: Hədəf seçin
Bu addımın son nəticəsi hücumu davam etdirmək üçün istifadə edilə bilən server və iş stansiyası host adlarının siyahısını əldə etməkdir.
Adından 'HUB-FILER' serveri layiqli hədəf kimi görünür, çünki zaman keçdikcə fayl serverləri, bir qayda olaraq, çoxlu sayda şəbəkə qovluğu toplayır və onlara həddən artıq çox insan tərəfindən giriş olur.
Windows Explorer ilə gözdən keçirmək bizə açıq paylaşılan qovluğun mövcudluğunu aşkar etməyə imkan verir, lakin cari hesabımız ona daxil ola bilmir (yəqin ki, bizdə yalnız siyahı hüquqları var).
Addım 3: ACL-ləri öyrənin
İndi HUB-FILER hostumuzda və hədəf paylaşımımızda ACL əldə etmək üçün PowerShell skriptini işlədə bilərik. Biz bunu yerli maşından edə bilərik, çünki artıq yerli administrator hüquqlarımız var:
(get-acl hub-filershare).access | ft IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags –auto
İcra nəticəsi:
Buradan görürük ki, Domain Users qrupunun yalnız siyahıya girişi var, lakin Helpdesk qrupunun da dəyişmək hüququ var.
Addım 4: Hesabın İdentifikasiyası
Qaçış
Get-ADGroupMember -identity Helpdesk
Bu siyahıda biz artıq müəyyən etdiyimiz və artıq daxil olduğumuz kompüter hesabını görürük:
Addım 5: Kompüter hesabı kimi işləmək üçün PSExec istifadə edin
PsExec.exe -s -i cmd.exe
Yaxşı, onda siz HUB-FILERshareHR hədəf qovluğuna tam giriş əldə edə bilərsiniz, çünki siz HUB-SHAREPOINT kompüter hesabı kontekstində işləyirsiniz. Və bu girişlə məlumatlar portativ saxlama cihazına kopyalana və ya başqa bir şəkildə götürülə və şəbəkə üzərindən ötürülə bilər.
Addım 6: Bu hücumun aşkarlanması
Bu xüsusi hesab imtiyazının tənzimlənməsi zəifliyi (istifadəçi hesabları və ya xidmət hesabları əvəzinə şəbəkə paylaşımlarına daxil olan kompüter hesabları) aşkar edilə bilər. Ancaq düzgün alətlər olmadan bunu etmək çox çətindir.
Bu kateqoriya hücumları aşkar etmək və qarşısını almaq üçün istifadə edə bilərik
Aşağıdakı ekran görüntüsü kompüter hesabı monitorinq edilən serverdəki məlumatlara hər dəfə daxil olduqda işə salınacaq fərdi bildirişi göstərir.
PowerShell ilə növbəti addımlar
Daha çox bilmək istəyirsiniz? Tam pulsuz giriş üçün "bloq" kilidini açmaq kodundan istifadə edin
Mənbə: www.habr.com