Privileegide suurendamine on konto praeguste õiguste kasutamine ründaja poolt, et saada süsteemile täiendavat, tavaliselt kõrgemat juurdepääsu. Kuigi privileegide eskaleerumine võib tuleneda nullpäeva turvaaukude ärakasutamisest või esmaklassiliste häkkerite tööst, kes korraldavad sihitud rünnakut, või hästi varjatud pahavara, on see enamasti tingitud arvuti või konto valest konfiguratsioonist. Rünnakut edasi arendades kasutavad ründajad mitmeid üksikuid turvaauke, mis koos võivad viia katastroofilise andmelekkeni.
Miks ei võiks kasutajatel olla kohaliku administraatori õigusi?
Kui olete turvaspetsialist, võib tunduda ilmne, et kasutajatel ei tohiks olla kohaliku administraatori õigusi, kuna see:
- Muudab nende kontod erinevate rünnakute suhtes haavatavamaks
- Muudab need samad rünnakud palju raskemaks
Kahjuks on see paljude organisatsioonide jaoks endiselt väga vastuoluline teema ja sellega kaasnevad mõnikord tulised arutelud (vt nt.
1. samm Pöörake DNS-i eraldusvõime PowerShelliga
Vaikimisi on PowerShell installitud paljudesse kohalikesse tööjaamadesse ja enamikesse Windowsi serveritesse. Ja kuigi liialdusteta peetakse seda uskumatult kasulikuks automatiseerimis- ja juhtimistööriistaks, on see samavõrra võimeline muutma end peaaegu nähtamatuks.
Meie puhul alustab ründaja PowerShelli skripti abil võrguga tutvumist, itereerides järjestikku üle võrgu IP-aadressi ruumi, püüdes kindlaks teha, kas antud IP lahendab hosti ja kui jah, siis mis on selle hosti võrgunimi.
Selle ülesande täitmiseks on palju viise, kuid cmdleti kasutamine
import-module activedirectory Get-ADComputer -property * -filter { ipv4address -eq ‘10.10.10.10’}
Kui kiirus suurtes võrkudes on probleem, saab kasutada DNS-i tagasihelistamist:
[System.Net.Dns]::GetHostEntry(‘10.10.10.10’).HostName
See hostide võrgus loetlemise meetod on väga populaarne, kuna enamik võrke ei kasuta null-usaldusmudelit ega jälgi sisemisi DNS-päringuid kahtlaste tegevuspurskete suhtes.
2. samm: valige sihtmärk
Selle sammu lõpptulemuseks on serveri ja tööjaama hostinimede loendi hankimine, mida saab rünnaku jätkamiseks kasutada.
Nime järgi tundub server 'HUB-FILER' olevat väärt sihtmärk, sest Aja jooksul koguneb failiserveritesse reeglina suur hulk võrgukaustu ja liiga paljude inimeste juurdepääs neile.
Windows Exploreriga sirvimine võimaldab meil tuvastada avatud jagatud kausta olemasolu, kuid meie praegune konto ei pääse sellele juurde (tõenäoliselt on meil ainult noteerimisõigused).
3. samm: õppige ACL-e
Nüüd saame meie HUB-FILER-i hostis ja sihtosas käitada PowerShelli skripti ACL-i hankimiseks. Saame seda teha kohalikust masinast, kuna meil on juba kohaliku administraatori õigused:
(get-acl hub-filershare).access | ft IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags –auto
Täitmise tulemus:
Sellest näeme, et domeenikasutajate rühmal on juurdepääs ainult kirjele, kuid kasutajatoe rühmal on ka õigus muuta.
4. samm: konto tuvastamine
Jooksmine
Get-ADGroupMember -identity Helpdesk
Selles loendis näeme arvutikontot, mille oleme juba tuvastanud ja millele on juba juurdepääs:
5. samm: kasutage arvutikontona käitamiseks PSExeci
PsExec.exe -s -i cmd.exe
Noh, siis on teil täielik juurdepääs sihtkaustale HUB-FILERshareHR, kuna töötate HUB-SHAREPOINT arvutikonto kontekstis. Ja selle juurdepääsuga saab andmeid kopeerida kaasaskantavale salvestusseadmele või muul viisil hankida ja võrgu kaudu edastada.
6. samm: selle rünnaku tuvastamine
See konkreetne konto privileegide häälestamise haavatavus (kasutajakontode või teenusekontode asemel pääsevad juurde võrgujagamistele arvutikontod) saab avastada. Ilma õigete tööriistadeta on seda aga väga raske teha.
Selle kategooria rünnakute tuvastamiseks ja ennetamiseks saame kasutada
Allolev ekraanipilt näitab kohandatud teatist, mis käivitub iga kord, kui arvutikonto pääseb juurde jälgitava serveri andmetele.
Järgmised sammud PowerShelliga
Kas soovite rohkem teada? Täielikule tasuta juurdepääsuks kasutage "blogi" avamiskoodi
Allikas: www.habr.com