Η κλιμάκωση προνομίων είναι η χρήση από έναν εισβολέα των τρεχόντων δικαιωμάτων ενός λογαριασμού για να αποκτήσει επιπλέον, συνήθως υψηλότερο επίπεδο πρόσβασης στο σύστημα. Ενώ η κλιμάκωση των προνομίων μπορεί να είναι αποτέλεσμα εκμετάλλευσης τρωτών σημείων zero-day ή της δουλειάς κορυφαίων χάκερ που πραγματοποιούν μια στοχευμένη επίθεση ή έξυπνα συγκαλυμμένο κακόβουλο λογισμικό, τις περισσότερες φορές οφείλεται σε εσφαλμένη διαμόρφωση του υπολογιστή ή του λογαριασμού. Αναπτύσσοντας περαιτέρω την επίθεση, οι εισβολείς χρησιμοποιούν μια σειρά από μεμονωμένα τρωτά σημεία, τα οποία μαζί μπορούν να οδηγήσουν σε καταστροφική διαρροή δεδομένων.
Γιατί οι χρήστες δεν πρέπει να έχουν δικαιώματα τοπικού διαχειριστή;
Εάν είστε επαγγελματίας ασφάλειας, μπορεί να φαίνεται προφανές ότι οι χρήστες δεν πρέπει να έχουν δικαιώματα τοπικού διαχειριστή, όπως αυτό:
- Κάνει τους λογαριασμούς τους πιο ευάλωτους σε διάφορες επιθέσεις
- Κάνει τις ίδιες επιθέσεις πολύ πιο σοβαρές
Δυστυχώς, για πολλούς οργανισμούς αυτό εξακολουθεί να είναι ένα πολύ αμφιλεγόμενο θέμα και μερικές φορές συνοδεύεται από έντονες συζητήσεις (βλ., για παράδειγμα, ). Χωρίς να υπεισέλθουμε στις λεπτομέρειες αυτής της συζήτησης, πιστεύουμε ότι ο εισβολέας κέρδισε δικαιώματα τοπικού διαχειριστή στο υπό έρευνα σύστημα, είτε μέσω ενός exploit είτε επειδή τα μηχανήματα δεν προστατεύονταν σωστά.
Βήμα 1 Αντίστροφη ανάλυση DNS με το PowerShell
Από προεπιλογή, το PowerShell είναι εγκατεστημένο σε πολλούς τοπικούς σταθμούς εργασίας και στους περισσότερους διακομιστές Windows. Και ενώ δεν είναι χωρίς υπερβολή ότι θεωρείται ένα απίστευτα χρήσιμο εργαλείο αυτοματισμού και ελέγχου, είναι εξίσου ικανό να μεταμορφωθεί σε ένα σχεδόν αόρατο (πρόγραμμα χάκερ που δεν αφήνει ίχνη επίθεσης).
Στην περίπτωσή μας, ο εισβολέας αρχίζει να πραγματοποιεί αναγνώριση δικτύου χρησιμοποιώντας μια δέσμη ενεργειών PowerShell, επαναλαμβάνοντας διαδοχικά στον χώρο διευθύνσεων IP του δικτύου, προσπαθώντας να προσδιορίσει εάν μια δεδομένη IP επιλύεται σε έναν κεντρικό υπολογιστή και αν ναι, ποιο είναι το όνομα δικτύου αυτού του κεντρικού υπολογιστή.
Υπάρχουν πολλοί τρόποι για να ολοκληρώσετε αυτήν την εργασία, αλλά χρησιμοποιώντας το cmdlet Το ADComputer είναι μια σταθερή επιλογή επειδή επιστρέφει ένα πραγματικά πλούσιο σύνολο δεδομένων για κάθε κόμβο:
import-module activedirectory Get-ADComputer -property * -filter { ipv4address -eq ‘10.10.10.10’}Εάν η ταχύτητα σε μεγάλα δίκτυα είναι πρόβλημα, τότε μπορεί να χρησιμοποιηθεί μια επανάκληση DNS:
[System.Net.Dns]::GetHostEntry(‘10.10.10.10’).HostName
Αυτή η μέθοδος καταχώρισης κεντρικών υπολογιστών σε ένα δίκτυο είναι πολύ δημοφιλής, καθώς τα περισσότερα δίκτυα δεν χρησιμοποιούν μοντέλο ασφάλειας μηδενικής εμπιστοσύνης και δεν παρακολουθούν εσωτερικά αιτήματα DNS για ύποπτες εκρήξεις δραστηριότητας.
Βήμα 2: Επιλέξτε έναν στόχο
Το τελικό αποτέλεσμα αυτού του βήματος είναι να αποκτήσετε μια λίστα με ονόματα κεντρικών υπολογιστών διακομιστή και σταθμών εργασίας που μπορούν να χρησιμοποιηθούν για τη συνέχιση της επίθεσης.
Από το όνομα, ο διακομιστής 'HUB-FILER' φαίνεται άξιος στόχος, αφού με την πάροδο του χρόνου, οι διακομιστές αρχείων, κατά κανόνα, συγκεντρώνουν μεγάλο αριθμό φακέλων δικτύου και υπερβολική πρόσβαση σε αυτούς από πάρα πολλά άτομα.
Η περιήγηση με την Εξερεύνηση των Windows μας επιτρέπει να ανιχνεύσουμε την παρουσία ενός ανοιχτού κοινόχρηστου φακέλου, αλλά ο τρέχων λογαριασμός μας δεν μπορεί να έχει πρόσβαση σε αυτόν (πιθανώς έχουμε μόνο δικαιώματα καταχώρισης).
Βήμα 3: Μάθετε ACL
Τώρα, στον κεντρικό μας υπολογιστή HUB-FILER και στο κοινόχρηστο στοιχείο προορισμού, μπορούμε να εκτελέσουμε ένα σενάριο PowerShell για να λάβουμε το ACL. Μπορούμε να το κάνουμε αυτό από τον τοπικό υπολογιστή, καθώς έχουμε ήδη δικαιώματα τοπικού διαχειριστή:
(get-acl hub-filershare).access | ft IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags –autoΑποτέλεσμα εκτέλεσης:
Από αυτό βλέπουμε ότι η ομάδα Domain Users έχει πρόσβαση μόνο στην καταχώριση, αλλά η ομάδα Helpdesk έχει επίσης τα δικαιώματα αλλαγής.
Βήμα 4: Αναγνώριση λογαριασμού
Τρέξιμο , μπορούμε να πάρουμε όλα τα μέλη αυτής της ομάδας:
Get-ADGroupMember -identity Helpdesk
Σε αυτήν τη λίστα βλέπουμε έναν λογαριασμό υπολογιστή που έχουμε ήδη εντοπίσει και έχουμε ήδη πρόσβαση:
Βήμα 5: Χρησιμοποιήστε το PSExec για εκτέλεση ως λογαριασμός υπολογιστή
από το Microsoft Sysinternals σας επιτρέπει να εκτελείτε εντολές στο πλαίσιο του λογαριασμού συστήματος SYSTEM@HUB-SHAREPOINT, ο οποίος γνωρίζουμε ότι είναι μέλος της ομάδας στόχου του Helpdesk. Δηλαδή, πρέπει απλώς να κάνουμε:
PsExec.exe -s -i cmd.exeΛοιπόν, τότε έχετε πλήρη πρόσβαση στον φάκελο προορισμού HUB-FILERshareHR, καθώς εργάζεστε στο πλαίσιο του λογαριασμού υπολογιστή HUB-SHAREPOINT. Και με αυτήν την πρόσβαση, τα δεδομένα μπορούν να αντιγραφούν σε μια φορητή συσκευή αποθήκευσης ή με άλλον τρόπο να ανακτηθούν και να μεταδοθούν μέσω του δικτύου.
Βήμα 6: Ανίχνευση αυτής της επίθεσης
Αυτή η συγκεκριμένη ευπάθεια συντονισμού προνομίων λογαριασμού (λογαριασμοί υπολογιστών που έχουν πρόσβαση σε κοινόχρηστα στοιχεία δικτύου αντί για λογαριασμούς χρηστών ή λογαριασμών υπηρεσιών) μπορεί να εντοπιστεί. Ωστόσο, χωρίς τα κατάλληλα εργαλεία, αυτό είναι πολύ δύσκολο να γίνει.
Για να εντοπίσουμε και να αποτρέψουμε αυτήν την κατηγορία επιθέσεων, μπορούμε να χρησιμοποιήσουμε για να αναγνωρίσετε ομάδες με λογαριασμούς υπολογιστή σε αυτές και, στη συνέχεια, να αρνηθείτε την πρόσβαση σε αυτές. προχωρά περαιτέρω και σας επιτρέπει να δημιουργήσετε μια ειδοποίηση ειδικά για αυτό το είδος σεναρίου.
Το παρακάτω στιγμιότυπο οθόνης δείχνει μια προσαρμοσμένη ειδοποίηση που θα ενεργοποιείται κάθε φορά που ένας λογαριασμός υπολογιστή αποκτά πρόσβαση σε δεδομένα σε έναν διακομιστή που παρακολουθείται.
Επόμενα βήματα με το PowerShell
Θέλετε να μάθετε περισσότερα; Χρησιμοποιήστε τον κωδικό ξεκλειδώματος "blog" για δωρεάν πρόσβαση στο πλήρες .
Πηγή: www.habr.com