Privileegide suurendamine on konto praeguste õiguste kasutamine ründaja poolt, et saada süsteemile täiendavat, tavaliselt kõrgemat juurdepääsu. Kuigi privileegide eskaleerumine võib tuleneda nullpäeva turvaaukude ärakasutamisest või esmaklassiliste häkkerite tööst, kes korraldavad sihitud rünnakut, või hästi varjatud pahavara, on see enamasti tingitud arvuti või konto valest konfiguratsioonist. Rünnakut edasi arendades kasutavad ründajad mitmeid üksikuid turvaauke, mis koos võivad viia katastroofilise andmelekkeni.
Miks ei võiks kasutajatel olla kohaliku administraatori õigusi?
Kui olete turvaspetsialist, võib tunduda ilmne, et kasutajatel ei tohiks olla kohaliku administraatori õigusi, kuna see:
- Muudab nende kontod erinevate rünnakute suhtes haavatavamaks
- Muudab need samad rünnakud palju raskemaks
Kahjuks on see paljude organisatsioonide jaoks endiselt väga vastuoluline teema ja sellega kaasnevad mõnikord tulised arutelud (vt nt. ). Selle arutelu üksikasjadesse laskumata usume, et ründaja sai uuritavas süsteemis kohaliku administraatori õigused kas ärakasutamise kaudu või seetõttu, et masinad ei olnud korralikult kaitstud.
1. samm Pöörake DNS-i eraldusvõime PowerShelliga
Vaikimisi on PowerShell installitud paljudesse kohalikesse tööjaamadesse ja enamikesse Windowsi serveritesse. Ja kuigi liialdusteta peetakse seda uskumatult kasulikuks automatiseerimis- ja juhtimistööriistaks, on see samavõrra võimeline muutma end peaaegu nähtamatuks. (häkkimisprogramm, mis ei jäta rünnakust jälgi).
Meie puhul alustab ründaja PowerShelli skripti abil võrguga tutvumist, itereerides järjestikku üle võrgu IP-aadressi ruumi, püüdes kindlaks teha, kas antud IP lahendab hosti ja kui jah, siis mis on selle hosti võrgunimi.
Selle ülesande täitmiseks on palju viise, kuid cmdleti kasutamine ADComputer on kindel valik, kuna see tagastab iga sõlme kohta tõeliselt rikkaliku andmestiku:
import-module activedirectory Get-ADComputer -property * -filter { ipv4address -eq ‘10.10.10.10’}Kui kiirus suurtes võrkudes on probleem, saab kasutada DNS-i tagasihelistamist:
[System.Net.Dns]::GetHostEntry(‘10.10.10.10’).HostName
See hostide võrgus loetlemise meetod on väga populaarne, kuna enamik võrke ei kasuta null-usaldusmudelit ega jälgi sisemisi DNS-päringuid kahtlaste tegevuspurskete suhtes.
2. samm: valige sihtmärk
Selle sammu lõpptulemuseks on serveri ja tööjaama hostinimede loendi hankimine, mida saab rünnaku jätkamiseks kasutada.
Nime järgi tundub server 'HUB-FILER' olevat väärt sihtmärk, sest Aja jooksul koguneb failiserveritesse reeglina suur hulk võrgukaustu ja liiga paljude inimeste juurdepääs neile.
Windows Exploreriga sirvimine võimaldab meil tuvastada avatud jagatud kausta olemasolu, kuid meie praegune konto ei pääse sellele juurde (tõenäoliselt on meil ainult noteerimisõigused).
3. samm: õppige ACL-e
Nüüd saame meie HUB-FILER-i hostis ja sihtosas käitada PowerShelli skripti ACL-i hankimiseks. Saame seda teha kohalikust masinast, kuna meil on juba kohaliku administraatori õigused:
(get-acl hub-filershare).access | ft IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags –autoTäitmise tulemus:
Sellest näeme, et domeenikasutajate rühmal on juurdepääs ainult kirjele, kuid kasutajatoe rühmal on ka õigus muuta.
4. samm: konto tuvastamine
Jooksmine , saame kõik selle grupi liikmed:
Get-ADGroupMember -identity Helpdesk
Selles loendis näeme arvutikontot, mille oleme juba tuvastanud ja millele on juba juurdepääs:
5. samm: kasutage arvutikontona käitamiseks PSExeci
Microsoft Sysinternals võimaldab teil käivitada käske SYSTEM@HUB-SHAREPOINT süsteemikonto kontekstis, mis meie teada on kasutajatoe sihtrühma liige. See tähendab, et me peame lihtsalt tegema:
PsExec.exe -s -i cmd.exeNoh, siis on teil täielik juurdepääs sihtkaustale HUB-FILERshareHR, kuna töötate HUB-SHAREPOINT arvutikonto kontekstis. Ja selle juurdepääsuga saab andmeid kopeerida kaasaskantavale salvestusseadmele või muul viisil hankida ja võrgu kaudu edastada.
6. samm: selle rünnaku tuvastamine
See konkreetne konto privileegide häälestamise haavatavus (kasutajakontode või teenusekontode asemel pääsevad juurde võrgujagamistele arvutikontod) saab avastada. Ilma õigete tööriistadeta on seda aga väga raske teha.
Selle kategooria rünnakute tuvastamiseks ja ennetamiseks saame kasutada et tuvastada arvutikontodega grupid ja seejärel keelata neile juurdepääs. läheb kaugemale ja võimaldab teil luua spetsiaalselt seda tüüpi stsenaariumi jaoks teatise.
Allolev ekraanipilt näitab kohandatud teatist, mis käivitub iga kord, kui arvutikonto pääseb juurde jälgitava serveri andmetele.
Järgmised sammud PowerShelliga
Kas soovite rohkem teada? Täielikule tasuta juurdepääsuks kasutage "blogi" avamiskoodi .
Allikas: www.habr.com