Ang pag-uswag sa pribilehiyo mao ang paggamit sa mga katungod sa kasamtangan nga account sa tig-atake aron makakuha og dugang, kasagaran mas taas, nga lebel sa pag-access sa sistema. Samtang ang pag-usbaw sa pribilehiyo mahimong resulta sa zero-day exploits, ang mga master hacker nga naglunsad og target nga pag-atake, o maalamon nga nagtakuban nga malware, kasagaran kini mahitabo tungod sa sayop nga pag-configure sa kompyuter o account. Sa dugang pagpalambo sa pag-atake, ang mga tig-atake nagpahimulos sa ubay-ubay nga indibidwal nga mga kahuyangan, nga sa tingub mahimong mosangpot sa usa ka katalagman nga pagtagas sa datos.
Ngano nga ang mga tiggamit kinahanglan nga adunay mga katungod sa lokal nga tigdumala?
Kung ikaw usa ka propesyonal sa seguridad, ingon og klaro nga ang mga tiggamit kinahanglan nga walay mga katungod sa lokal nga tigdumala, tungod kay kini:
- Naghimo sa ilang mga account nga mas huyang sa lainlaing mga pag-atake
- Gihimo kining parehas nga mga pag-atake nga labi ka seryoso
Ikasubo, alang sa daghang mga organisasyon kini usa gihapon ka kontrobersyal nga isyu ug usahay giubanan sa mainit nga mga diskusyon (tan-awa, pananglitan, ). Sa walay paghisgot sa mga detalye niini nga diskusyon, kami nagtuo nga ang tig-atake nakaangkon og mga katungod sa lokal nga tigdumala sa sistema nga giimbestigahan, pinaagi sa usa ka pagpahimulos o tungod kay ang mga makina wala masiguro nga husto.
Lakang 1: Reverse DNS Name Resolution Gamit ang PowerShell
Sa kasagaran, ang PowerShell na-install sa daghang lokal nga workstation ug sa kadaghanan sa mga server sa Windows. Ug bisan kung kini dili sa walay pagpasobra nga kini gikonsiderar nga usa ka talagsaon nga mapuslanon nga automation ug pagkontrol nga himan, kini parehas nga makahimo nga mahimong usa ka hapit dili makita. (usa ka programa sa pag-hack nga walay mga timailhan sa pag-atake).
Sa among kaso, ang tig-atake nagsugod sa paghimo sa network reconnaissance gamit ang PowerShell script, sunod-sunod nga pag-uli sa IP address space sa network, pagsulay sa pagtino kung ang usa ka gihatag nga IP masulbad sa usa ka host, ug kung mao, kung unsa ang ngalan sa network sa kana nga host.
Adunay daghang mga paagi aron matuman kini nga buluhaton, apan gamit ang cmdlet Ang ADComputer usa ka kasaligan nga kapilian tungod kay nagbalik kini usa ka dato nga hugpong sa datos bahin sa matag node:
import-module activedirectory Get-ADComputer -property * -filter { ipv4address -eq β10.10.10.10β}Kung ang katulin sa dagkong mga network usa ka isyu, ang usa ka reverse DNS system nga tawag mahimong magamit:
[System.Net.Dns]::GetHostEntry(β10.10.10.10β).HostName
Kini nga pamaagi sa pag-ihap sa mga host sa usa ka network sikat kaayo tungod kay kadaghanan sa mga network wala mogamit usa ka modelo sa seguridad nga zero trust ug wala mag-monitor sa internal nga mga pangutana sa DNS alang sa mga kadudahang pagbuto sa kalihokan.
Lakang 2: Pagpili og target
Ang katapusan nga resulta niini nga lakang mao ang pagkuha sa usa ka listahan sa server ug workstation hostname nga mahimong gamiton sa pagpadayon sa pag-atake.
Base sa ngalan niini, ang 'HUB-FILER' server daw usa ka angay nga target tungod kay... Sa paglabay sa panahon, ang mga file server lagmit nga magtigum og daghang mga folder sa network ug sobra nga pag-access niini sa daghang mga tawo.
Ang pag-browse sa Windows Explorer nagtugot kanamo sa pagtino nga adunay usa ka bukas nga gipaambit nga folder, apan ang among kasamtangan nga account dili maka-access niini (tingali kami adunay mga katungod sa paglista).
Lakang 3: Pagkat-on sa ACL
Karon sa among HUB-FILER host ug target nga bahin, mahimo namong ipadagan ang PowerShell script aron makuha ang ACL. Mahimo nato kini gikan sa lokal nga makina, tungod kay aduna na kitay mga katungod sa lokal nga tigdumala:
(get-acl hub-filershare).access | ft IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags βautoResulta sa pagpatuman:
Gikan niini atong makita nga ang grupo sa mga Gumagamit sa Domain adunay access lamang sa listahan, apan ang grupo sa Helpdesk aduna usab mga katungod sa pag-edit.
Lakang 4: Pag-ila sa Account
Pinaagi sa pagdagan , makuha nato ang tanang miyembro niini nga grupo:
Get-ADGroupMember -identity Helpdesk
Niini nga lista atong makita ang computer account nga naila na namo ug na-access na:
Lakang 5: Gamita ang PSExec aron magtrabaho ubos sa usa ka account sa kompyuter
gikan sa Microsoft Sysinternals nagtugot kanimo sa pagpatuman sa mga sugo sa konteksto sa SYSTEM@HUB-SHAREPOINT system account, nga nahibal-an namon nga miyembro sa Helpdesk target nga grupo. Sa ato pa, kinahanglan lang naton buhaton:
PsExec.exe -s -i cmd.exeAw, unya ikaw adunay bug-os nga pag-access sa target nga folder nga HUB-FILERshareHR, tungod kay nagtrabaho ka sa konteksto sa HUB-SHAREPOINT computer account. Ug uban niini nga pag-access, ang data mahimong makopya sa usa ka portable storage device o kung dili makuha ug ibalhin sa network.
Lakang 6: Pag-ila niini nga pag-atake
Kining partikular nga account permissions configuration vulnerability (computer accounts accessing network shares instead of user accounts or service accounts) mahimong madiskobrehan. Bisan pa, kung wala ang husto nga mga himan, lisud kaayo kini buhaton.
Aron mahibal-an ug mapugngan kini nga kategorya sa mga pag-atake, magamit namon aron mahibal-an ang mga grupo nga adunay mga account sa kompyuter sa kanila, ug dayon dumilian ang pag-access niini. moadto sa dugang ug nagtugot kanimo sa paghimo og usa ka pahibalo ilabi na alang niini nga matang sa senaryo.
Ang screenshot sa ubos nagpakita sa usa ka custom nga pahibalo nga ma-trigger sa matag higayon nga ang usa ka computer account maka-access sa data sa gimonitor nga server.
Sunod nga mga lakang gamit ang PowerShell
Gusto nga mahibal-an ang dugang? Gamita ang unlock code nga "blog" alang sa libre nga pag-access sa hingpit .
Source: www.habr.com