افزایش امتیاز استفاده مهاجم از حقوق فعلی یک حساب برای به دست آوردن دسترسی بیشتر و معمولاً سطح بالاتری به سیستم است. در حالی که افزایش امتیاز می تواند نتیجه سوء استفاده از آسیب پذیری های روز صفر یا کار هکرهای درجه یک که یک حمله هدفمند انجام می دهند یا بدافزار پنهان شده هوشمندانه باشد، اغلب به دلیل پیکربندی نادرست رایانه یا حساب است. با توسعه بیشتر حمله، مهاجمان از تعدادی آسیبپذیری فردی استفاده میکنند که با هم میتوانند منجر به نشت دادههای فاجعهبار شوند.
چرا کاربران نباید حقوق مدیر محلی داشته باشند؟
اگر شما یک حرفه ای در زمینه امنیت هستید، ممکن است بدیهی به نظر برسد که کاربران نباید از حقوق سرپرست محلی برخوردار باشند، به عنوان مثال:
- حساب های آنها را در برابر حملات مختلف آسیب پذیرتر می کند
- همین حملات را بسیار شدیدتر می کند
متأسفانه، برای بسیاری از سازمانها این موضوع هنوز یک موضوع بحثبرانگیز است و گاهی اوقات با بحثهای داغ همراه است (به عنوان مثال، نگاه کنید به:
مرحله 1 معکوس کردن وضوح DNS با PowerShell
به طور پیش فرض، PowerShell در بسیاری از ایستگاه های کاری محلی و در اکثر سرورهای ویندوز نصب شده است. و در حالی که بدون اغراق نیست که یک ابزار اتوماسیون و کنترل فوق العاده مفید در نظر گرفته می شود، به همان اندازه قادر است خود را به یک ابزار تقریبا نامرئی تبدیل کند.
در مورد ما، مهاجم شروع به شناسایی شبکه با استفاده از یک اسکریپت PowerShell می کند، به طور متوالی در فضای آدرس IP شبکه تکرار می شود، سعی می کند تعیین کند که آیا IP داده شده به یک میزبان حل می شود یا خیر، و اگر چنین است، نام شبکه این میزبان چیست.
راه های زیادی برای انجام این کار وجود دارد، اما با استفاده از cmdlet
import-module activedirectory Get-ADComputer -property * -filter { ipv4address -eq ‘10.10.10.10’}
اگر سرعت در شبکه های بزرگ مشکل است، می توان از یک تماس DNS استفاده کرد:
[System.Net.Dns]::GetHostEntry(‘10.10.10.10’).HostName
این روش فهرست کردن میزبان ها در شبکه بسیار محبوب است، زیرا اکثر شبکه ها از مدل امنیتی صفر استفاده نمی کنند و درخواست های DNS داخلی را برای انفجارهای مشکوک فعالیت نظارت نمی کنند.
مرحله 2: یک هدف را انتخاب کنید
نتیجه نهایی این مرحله به دست آوردن لیستی از نام های میزبان سرور و ایستگاه کاری است که می توان از آنها برای ادامه حمله استفاده کرد.
از این نام، سرور 'HUB-FILER' هدف شایسته ای به نظر می رسد با گذشت زمان، سرورهای فایل، به عنوان یک قاعده، تعداد زیادی پوشه شبکه و دسترسی بیش از حد افراد به آنها را جمع می کنند.
مرور با Windows Explorer به ما امکان می دهد وجود یک پوشه به اشتراک گذاشته شده باز را تشخیص دهیم، اما حساب فعلی ما نمی تواند به آن دسترسی داشته باشد (احتمالاً ما فقط حقوق فهرست را داریم).
مرحله 3: ACL را یاد بگیرید
اکنون، در هاست و اشتراک هدف HUB-FILER خود، میتوانیم یک اسکریپت PowerShell را برای دریافت ACL اجرا کنیم. ما می توانیم این کار را از ماشین محلی انجام دهیم، زیرا از قبل حقوق مدیر محلی را داریم:
(get-acl hub-filershare).access | ft IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags –auto
نتیجه اجرا:
از آن می بینیم که گروه Domain Users فقط به لیست دسترسی دارد، اما گروه Helpdesk نیز حق تغییر را دارد.
مرحله 4: شناسایی حساب
در حال دویدن
Get-ADGroupMember -identity Helpdesk
در این لیست یک حساب کامپیوتری می بینیم که قبلاً شناسایی کرده ایم و قبلاً به آن دسترسی داشته ایم:
مرحله 5: از PSExec برای اجرا به عنوان یک حساب رایانه استفاده کنید
PsExec.exe -s -i cmd.exe
خوب، پس شما به پوشه هدف HUB-FILERshareHR دسترسی کامل دارید، زیرا در زمینه حساب رایانه HUB-SHAREPOINT کار می کنید. و با این دسترسی، داده ها را می توان در یک دستگاه ذخیره سازی قابل حمل کپی کرد یا در غیر این صورت بازیابی و از طریق شبکه منتقل کرد.
مرحله 6: شناسایی این حمله
این آسیبپذیری ویژه تنظیم امتیاز حساب (حسابهای رایانهای که به جای حسابهای کاربری یا حسابهای سرویس به اشتراکهای شبکه دسترسی دارند) قابل کشف است. با این حال، بدون ابزار مناسب، انجام این کار بسیار دشوار است.
برای شناسایی و جلوگیری از این دسته از حملات می توانیم استفاده کنیم
اسکرین شات زیر یک اعلان سفارشی را نشان میدهد که هر بار که یک حساب رایانه به دادههای سرور نظارت شده دسترسی پیدا میکند، فعال میشود.
مراحل بعدی با PowerShell
میخواهی بیشتر بدانی؟ از کد باز کردن قفل "وبلاگ" برای دسترسی رایگان به کامل استفاده کنید
منبع: www.habr.com