İmtiyazların artırılması sistemə əlavə, adətən daha yüksək səviyyəli giriş əldə etmək üçün təcavüzkarın hesabın cari hüquqlarından istifadə etməsidir. İmtiyazların yüksəldilməsi sıfır gün zəifliklərindən istifadənin və ya hədəflənmiş hücum həyata keçirən birinci dərəcəli hakerlərin işi və ya yaxşı maskalanmış zərərli proqram təminatının nəticəsi ola bilsə də, bu, çox vaxt kompüterin və ya hesabın yanlış konfiqurasiyası ilə bağlıdır. Hücumu daha da inkişaf etdirərək, təcavüzkarlar bir sıra fərdi zəifliklərdən istifadə edirlər ki, bu da birlikdə fəlakətli məlumat sızmasına səbəb ola bilər.
Niyə istifadəçilər yerli administrator hüquqlarına malik olmamalıdırlar?
Əgər siz təhlükəsizlik mütəxəssisisinizsə, istifadəçilərin yerli administrator hüquqlarının olmaması açıq-aydın görünə bilər, belə ki:
- Onların hesablarını müxtəlif hücumlara qarşı daha həssas edir
- Eyni hücumları daha şiddətli edir
Təəssüf ki, bir çox təşkilatlar üçün bu, hələ də çox mübahisəli məsələdir və bəzən qızğın müzakirələrlə müşayiət olunur (məsələn, bax: ). Bu müzakirənin təfərrüatlarına varmadan, hesab edirik ki, təcavüzkar ya istismar yolu ilə, ya da maşınlar lazımi şəkildə qorunmadığı üçün araşdırılan sistemdə yerli administrator hüquqları əldə edib.
Addım 1 PowerShell ilə DNS həllini əks etdirin
Varsayılan olaraq, PowerShell bir çox yerli iş stansiyalarında və əksər Windows serverlərində quraşdırılmışdır. Mübaliğəsiz olmasa da, o, inanılmaz dərəcədə faydalı avtomatlaşdırma və idarəetmə vasitəsi hesab edilsə də, eyni dərəcədə özünü görünməz bir alətə çevirməyə qadirdir. (hücumun izlərini buraxmayan hack proqramı).
Bizim vəziyyətimizdə təcavüzkar PowerShell skriptindən istifadə edərək şəbəkə kəşfiyyatını həyata keçirməyə başlayır, ardıcıl olaraq şəbəkənin IP ünvan məkanında təkrarlanır, verilmiş IP-nin hosta həll olub-olmadığını və əgər belədirsə, bu hostun şəbəkə adının nə olduğunu müəyyən etməyə çalışır.
Bu tapşırığı yerinə yetirməyin bir çox yolu var, lakin cmdletdən istifadə etməklə ADComputer möhkəm seçimdir, çünki o, hər bir qovşaq haqqında həqiqətən zəngin məlumat dəstini qaytarır:
import-module activedirectory Get-ADComputer -property * -filter { ipv4address -eq ‘10.10.10.10’}Böyük şəbəkələrdə sürət problemdirsə, DNS geri çağırışı istifadə edilə bilər:
[System.Net.Dns]::GetHostEntry(‘10.10.10.10’).HostName
Şəbəkədə hostların siyahıya alınmasının bu üsulu çox populyardır, çünki əksər şəbəkələr sıfır etibarlı təhlükəsizlik modelindən istifadə etmir və şübhəli fəaliyyət partlayışları üçün daxili DNS sorğularına nəzarət etmir.
Addım 2: Hədəf seçin
Bu addımın son nəticəsi hücumu davam etdirmək üçün istifadə edilə bilən server və iş stansiyası host adlarının siyahısını əldə etməkdir.
Adından 'HUB-FILER' serveri layiqli hədəf kimi görünür, çünki zaman keçdikcə fayl serverləri, bir qayda olaraq, çoxlu sayda şəbəkə qovluğu toplayır və onlara həddən artıq çox insan tərəfindən giriş olur.
Windows Explorer ilə gözdən keçirmək bizə açıq paylaşılan qovluğun mövcudluğunu aşkar etməyə imkan verir, lakin cari hesabımız ona daxil ola bilmir (yəqin ki, bizdə yalnız siyahı hüquqları var).
Addım 3: ACL-ləri öyrənin
İndi HUB-FILER hostumuzda və hədəf paylaşımımızda ACL əldə etmək üçün PowerShell skriptini işlədə bilərik. Biz bunu yerli maşından edə bilərik, çünki artıq yerli administrator hüquqlarımız var:
(get-acl hub-filershare).access | ft IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags –autoİcra nəticəsi:
Buradan görürük ki, Domain Users qrupunun yalnız siyahıya girişi var, lakin Helpdesk qrupunun da dəyişmək hüququ var.
Addım 4: Hesabın İdentifikasiyası
Qaçış , bu qrupun bütün üzvlərini əldə edə bilərik:
Get-ADGroupMember -identity Helpdesk
Bu siyahıda biz artıq müəyyən etdiyimiz və artıq daxil olduğumuz kompüter hesabını görürük:
Addım 5: Kompüter hesabı kimi işləmək üçün PSExec istifadə edin
Microsoft Sysinternals-dan sizə Helpdesk hədəf qrupunun üzvü olduğunu bildiyimiz SYSTEM@HUB-SHAREPOINT sistem hesabı kontekstində əmrləri yerinə yetirməyə imkan verir. Yəni, sadəcə olaraq etməliyik:
PsExec.exe -s -i cmd.exeYaxşı, onda siz HUB-FILERshareHR hədəf qovluğuna tam giriş əldə edə bilərsiniz, çünki siz HUB-SHAREPOINT kompüter hesabı kontekstində işləyirsiniz. Və bu girişlə məlumatlar portativ saxlama cihazına kopyalana və ya başqa bir şəkildə götürülə və şəbəkə üzərindən ötürülə bilər.
Addım 6: Bu hücumun aşkarlanması
Bu xüsusi hesab imtiyazının tənzimlənməsi zəifliyi (istifadəçi hesabları və ya xidmət hesabları əvəzinə şəbəkə paylaşımlarına daxil olan kompüter hesabları) aşkar edilə bilər. Ancaq düzgün alətlər olmadan bunu etmək çox çətindir.
Bu kateqoriya hücumları aşkar etmək və qarşısını almaq üçün istifadə edə bilərik kompüter hesabları olan qrupları müəyyən etmək və sonra onlara daxil olmaqdan imtina etmək. daha da irəli gedir və bu cür ssenari üçün xüsusi olaraq bildiriş yaratmağa imkan verir.
Aşağıdakı ekran görüntüsü kompüter hesabı monitorinq edilən serverdəki məlumatlara hər dəfə daxil olduqda işə salınacaq fərdi bildirişi göstərir.
PowerShell ilə növbəti addımlar
Daha çox bilmək istəyirsiniz? Tam pulsuz giriş üçün "bloq" kilidini açmaq kodundan istifadə edin .
Mənbə: www.habr.com