Dwysau braint yw'r defnydd gan ymosodwr o hawliau cyfredol cyfrif i gael mynediad ychwanegol, fel arfer lefel uwch, i'r system. Er y gall dwysáu braint fod yn ganlyniad i ymelwa ar wendidau dim diwrnod, neu waith hacwyr o’r radd flaenaf yn cynnal ymosodiad wedi’i dargedu, neu faleiswedd sydd wedi’i guddio’n dda, mae hyn yn fwyaf aml oherwydd camgyflunio’r cyfrifiadur neu’r cyfrif. Wrth ddatblygu'r ymosodiad ymhellach, mae ymosodwyr yn defnyddio nifer o wendidau unigol, a all gyda'i gilydd arwain at ollyngiad data trychinebus.
Pam na ddylai defnyddwyr gael hawliau gweinyddwr lleol?
Os ydych chi'n weithiwr diogelwch proffesiynol, fe allai ymddangos yn amlwg na ddylai defnyddwyr gael hawliau gweinyddwr lleol, fel hyn:
- Yn gwneud eu cyfrifon yn fwy agored i ymosodiadau amrywiol
- Yn gwneud yr un ymosodiadau hynny'n llawer mwy difrifol
Yn anffodus, i lawer o sefydliadau mae hwn yn dal i fod yn fater dadleuol iawn ac weithiau bydd trafodaethau brwd yn cyd-fynd ag ef (gweler, er enghraifft, ). Heb fynd i fanylion y drafodaeth hon, credwn fod yr ymosodwr wedi ennill hawliau gweinyddwr lleol ar y system sy'n cael ei hymchwilio, naill ai trwy gamfanteisio neu oherwydd nad oedd y peiriannau wedi'u diogelu'n iawn.
Cam 1 Gwrthdroi Penderfyniad DNS gyda PowerShell
Yn ddiofyn, mae PowerShell wedi'i osod ar lawer o weithfannau lleol ac ar y mwyafrif o weinyddion Windows. Ac er nad yw'n or-ddweud ei fod yn cael ei ystyried yn offeryn awtomeiddio a rheoli hynod ddefnyddiol, mae'r un mor gallu trawsnewid ei hun yn anweledig bron. (rhaglen hacio nad yw'n gadael olion yr ymosodiad).
Yn ein hachos ni, mae'r ymosodwr yn dechrau perfformio rhagchwilio rhwydwaith gan ddefnyddio sgript PowerShell, gan ailadrodd yn olynol dros ofod cyfeiriad IP y rhwydwaith, gan geisio penderfynu a yw IP penodol yn penderfynu i westeiwr, ac os felly, beth yw enw rhwydwaith y gwesteiwr hwn.
Mae yna lawer o ffyrdd i gyflawni'r dasg hon, ond gan ddefnyddio'r cmdlet Mae ADComputer yn opsiwn cadarn oherwydd ei fod yn dychwelyd set gyfoethog iawn o ddata am bob nod:
import-module activedirectory Get-ADComputer -property * -filter { ipv4address -eq ‘10.10.10.10’}Os yw cyflymder ar rwydweithiau mawr yn broblem, yna gellir defnyddio galwad yn ôl DNS:
[System.Net.Dns]::GetHostEntry(‘10.10.10.10’).HostName
Mae'r dull hwn o restru gwesteiwyr ar rwydwaith yn boblogaidd iawn, gan nad yw'r rhan fwyaf o rwydweithiau'n defnyddio model diogelwch dim-ymddiriedaeth ac nid ydynt yn monitro ymholiadau DNS mewnol am gyfnodau amheus o weithgarwch.
Cam 2: Dewiswch darged
Canlyniad terfynol y cam hwn yw cael rhestr o enwau gwesteiwr gweinyddwyr a gweithfannau y gellir eu defnyddio i barhau â'r ymosodiad.
O'r enw, mae'r gweinydd 'HUB-FILER' yn ymddangos fel targed teilwng, ers hynny dros amser, mae gweinyddwyr ffeiliau, fel rheol, yn cronni nifer fawr o ffolderi rhwydwaith a mynediad gormodol iddynt gan ormod o bobl.
Mae pori gyda Windows Explorer yn ein galluogi i ganfod presenoldeb ffolder a rennir agored, ond ni all ein cyfrif cyfredol gael mynediad ato (mae'n debyg mai dim ond hawliau rhestru sydd gennym).
Cam 3: Dysgu ACLs
Nawr, ar ein gwesteiwr HUB-FILER a'n cyfran darged, gallwn redeg sgript PowerShell i gael yr ACL. Gallwn wneud hyn o'r peiriant lleol, gan fod gennym eisoes hawliau gweinyddwr lleol:
(get-acl hub-filershare).access | ft IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags –autoCanlyniad gweithredu:
Oddi yno gwelwn fod gan y grŵp Defnyddwyr Parth fynediad i'r rhestriad yn unig, ond mae gan y grŵp Desg Gymorth hefyd yr hawl i newid.
Cam 4: Adnabod Cyfrif
Rhedeg , gallwn gael pob aelod o'r grŵp hwn:
Get-ADGroupMember -identity Helpdesk
Yn y rhestr hon gwelwn gyfrif cyfrifiadurol yr ydym eisoes wedi'i nodi ac wedi cael mynediad iddo eisoes:
Cam 5: Defnyddiwch PSExec i redeg fel cyfrif cyfrifiadur
o Microsoft Sysinternals yn caniatáu ichi weithredu gorchmynion yng nghyd-destun y cyfrif system SYSTEM@HUB-SHAREPOINT, y gwyddom ei fod yn aelod o grŵp targed y Ddesg Gymorth. Hynny yw, does ond angen i ni wneud:
PsExec.exe -s -i cmd.exeWel, yna mae gennych fynediad llawn i'r ffolder targed HUB-FILERshareHR, gan eich bod yn gweithio yng nghyd-destun y cyfrif cyfrifiadurol HUB-SHAREPOINT. A chyda'r mynediad hwn, gellir copïo'r data i ddyfais storio gludadwy neu fel arall ei adfer a'i drosglwyddo dros y rhwydwaith.
Cam 6: Canfod yr ymosodiad hwn
Gellir darganfod y bregusrwydd tiwnio braint cyfrif arbennig hwn (cyfrifon cyfrifiadurol sy'n cyrchu cyfranddaliadau rhwydwaith yn lle cyfrifon defnyddwyr neu gyfrifon gwasanaeth). Fodd bynnag, heb yr offer cywir, mae hyn yn anodd iawn i'w wneud.
Er mwyn canfod ac atal y categori hwn o ymosodiadau, gallwn ei ddefnyddio i adnabod grwpiau sydd â chyfrifon cyfrifiadurol ynddynt, ac yna gwrthod mynediad iddynt. yn mynd ymhellach ac yn caniatáu ichi greu hysbysiad yn benodol ar gyfer y math hwn o senario.
Mae'r sgrinlun isod yn dangos hysbysiad arferol a fydd yn tanio bob tro y bydd cyfrif cyfrifiadur yn cyrchu data ar weinydd sy'n cael ei fonitro.
Y camau nesaf gyda PowerShell
Eisiau gwybod mwy? Defnyddiwch y cod datglo "blog" ar gyfer mynediad am ddim i'r llawn .
Ffynhonnell: hab.com