Privilegia eskalado estas la uzo de la nunaj kontrajtoj de atakanto por akiri plian, kutime pli altan, nivelon de aliro al la sistemo. Dum privilegia eskalado povas esti la rezulto de nul-tagaj ekspluatoj, majstraj piratoj lanĉantaj celitan atakon, aŭ lerte kaŝvestitan malware, ĝi plej ofte okazas pro komputila aŭ konta misagordo. Disvolvante la atakon plu, atakantoj ekspluatas kelkajn individuajn vundeblecojn, kiuj kune povas konduki al katastrofa datumfluo.
Kial uzantoj ne havu lokajn administrantajn rajtojn?
Se vi estas sekureca profesiulo, povas ŝajni evidente, ke uzantoj ne havu lokajn administrantajn rajtojn, ĉar ĉi tio:
- Faras iliajn kontojn pli vundeblaj al diversaj atakoj
- Faras ĉi tiujn samajn atakojn multe pli seriozaj
Bedaŭrinde, por multaj organizoj tio ankoraŭ estas tre polemika afero kaj foje estas akompanata de ekscititaj diskutoj (vidu, ekzemple, ). Sen eniri la detalojn de ĉi tiu diskuto, ni kredas, ke la atakanto akiris lokajn administrajn rajtojn sur la esplorita sistemo, ĉu per ekspluato aŭ ĉar la maŝinoj ne estis ĝuste sekurigitaj.
Paŝo 1: Inversa DNS-Noma Rezolucio Uzante PowerShell
Defaŭlte, PowerShell estas instalita sur multaj lokaj laborstacioj kaj sur la plej multaj Vindozaj serviloj. Kaj kvankam ĝi ne estas sen troigo, ke ĝi estas konsiderata nekredeble utila aŭtomatiga kaj kontrola ilo, ĝi same kapablas iĝi preskaŭ nevidebla. (haka programo, kiu ne lasas spurojn de atako).
En nia kazo, la atakanto komencas fari reton-sciigon uzante PowerShell-skripton, sinsekve ripetante tra la IP-adresspaco de la reto, provante determini ĉu antaŭfiksita IP solvas al gastiganto, kaj se jes, kio estas la retnomo de tiu gastiganto.
Estas multaj manieroj plenumi ĉi tiun taskon, sed uzante la cmdlet ADComputer estas fidinda opcio ĉar ĝi resendas vere riĉan aron da datumoj pri ĉiu nodo:
import-module activedirectory Get-ADComputer -property * -filter { ipv4address -eq ‘10.10.10.10’}Se rapideco en grandaj retoj estas problemo, inversa DNS-sistemvoko povas esti uzata:
[System.Net.Dns]::GetHostEntry(‘10.10.10.10’).HostName
Ĉi tiu metodo de listigo de gastigantoj en reto estas tre populara ĉar plej multaj retoj ne uzas nulan fidan sekurecmodelon kaj ne kontrolas internajn DNS-demandojn por suspektindaj eksplodoj de agado.
Paŝo 2: Elektu celon
La fina rezulto de ĉi tiu paŝo estas akiri liston de servilaj kaj laborstaciaj gastigantnomoj, kiuj povas esti uzataj por daŭrigi la atakon.
Surbaze de sia nomo, la servilo 'HUB-FILER' ŝajnas esti inda celo ĉar... Kun la tempo, dosierserviloj tendencas amasigi grandan nombron da retaj dosierujoj kaj troan aliron al ili de tro da homoj.
Foliumi per Windows Explorer permesas al ni determini, ke ekzistas malfermita komuna dosierujo, sed nia nuna konto ne povas aliri ĝin (ni verŝajne nur havas listrajtojn).
Paŝo 3: Lerni la ACL
Nun ĉe nia HUB-FILER gastiganto kaj cela parto, ni povas ruli la PowerShell-skripton por akiri la ACL. Ni povas fari tion de la loka maŝino, ĉar ni jam havas lokajn administrantajn rajtojn:
(get-acl hub-filershare).access | ft IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags –autoEkzekutrezulto:
El ĝi ni vidas, ke la grupo de Uzantoj de Domajno havas aliron nur al la listo, sed la grupo Helpdesk ankaŭ havas redaktajn rajtojn.
Paŝo 4: Konto-Identigo
Kurante , ni povas akiri ĉiujn membrojn de ĉi tiu grupo:
Get-ADGroupMember -identity Helpdesk
En ĉi tiu listo ni vidas la komputilan konton, kiun ni jam identigis kaj jam aliris:
Paŝo 5: Uzu PSExec por labori sub komputila konto
de Microsoft Sysinternals permesas al vi ruli komandojn en la kunteksto de la sistema konto SYSTEM@HUB-SHAREPOINT, kiun ni scias estas membro de la celgrupo de Helpdesk. Tio estas, ni nur bezonas fari:
PsExec.exe -s -i cmd.exeNu, do vi havas plenan aliron al la cela dosierujo HUB-FILERshareHR, ĉar vi laboras en la kunteksto de la komputila konto HUB-SHAREPOINT. Kaj kun ĉi tiu aliro, datumoj povas esti kopiitaj al portebla stoka aparato aŭ alie prenitaj kaj transdonitaj tra la reto.
Paŝo 6: Detektante ĉi tiun atakon
Ĉi tiu aparta vundebleco de agordo de permesoj de konto (komputilkontoj alirantaj retajn akciojn anstataŭ uzantkontojn aŭ servajn kontojn) povas esti malkovrita. Tamen, sen la ĝustaj iloj, ĉi tio estas tre malfacile fari.
Por detekti kaj malhelpi ĉi tiun kategorion de atakoj, ni povas uzi identigi grupojn kun komputilaj kontoj en ili, kaj poste nei aliron al ili. iras plu kaj permesas vin krei sciigon specife por ĉi tiu tipo de scenaro.
La ekrankopio sube montras kutiman sciigon, kiu estos ekigita kiam ajn komputila konto aliras datumojn sur la monitorita servilo.
Venontaj paŝoj uzante PowerShell
Ĉu vi volas scii pli? Uzu la malŝlosi kodon "blogo" por libera aliro al la plena .
fonto: www.habr.com