Etuoikeuksien eskalointi tarkoittaa sitä, että hyökkääjä käyttää tilin nykyisiä oikeuksia saadakseen lisää, yleensä korkeamman tason pääsyn järjestelmään. Vaikka oikeuksien eskaloituminen voi johtua nollapäivän haavoittuvuuksien hyödyntämisestä tai kohdennettuja hyökkäyksiä suorittavien ensiluokkaisten hakkereiden työstä tai hyvin naamioituneista haittaohjelmista, se johtuu useimmiten tietokoneen tai tilin virheellisestä määrityksestä. Hyökkäystä edelleen kehittäessään hyökkääjät käyttävät useita yksittäisiä haavoittuvuuksia, jotka yhdessä voivat johtaa katastrofaaliseen tietovuotoon.
Miksi käyttäjillä ei saisi olla paikallisen järjestelmänvalvojan oikeuksia?
Jos olet tietoturva-ammattilainen, saattaa tuntua itsestään selvältä, että käyttäjillä ei pitäisi olla paikallisia järjestelmänvalvojan oikeuksia, koska tämä:
- Tekee heidän tilinsä alttiimpia erilaisille hyökkäyksille
- Tekee samoista hyökkäyksistä paljon ankarampia
Valitettavasti monille organisaatioille tämä on edelleen erittäin kiistanalainen kysymys, ja siihen liittyy joskus kiihkeitä keskusteluja (katso esim. ). Menemättä tämän keskustelun yksityiskohtiin uskomme, että hyökkääjä sai paikallisen järjestelmänvalvojan oikeudet tutkittavaan järjestelmään joko hyväksikäytön kautta tai koska koneita ei suojattu kunnolla.
Vaihe 1 Käänteinen DNS-resoluutio PowerShellillä
Oletusarvoisesti PowerShell on asennettu moniin paikallisiin työasemiin ja useimpiin Windows-palvelimiin. Ja vaikka sitä ei ole liioittelematta pidetty uskomattoman hyödyllisenä automaatio- ja ohjaustyökaluna, se pystyy yhtä lailla muuttamaan itsensä lähes näkymättömäksi (hakkerointiohjelma, joka ei jätä jälkiä hyökkäyksestä).
Meidän tapauksessamme hyökkääjä alkaa suorittaa verkkotutkintaa PowerShell-komentosarjan avulla, iteroiden peräkkäin verkon IP-osoiteavaruudessa ja yrittää selvittää, ratkaiseeko tietty IP isännälle, ja jos on, mikä on tämän isännän verkkonimi.
On monia tapoja suorittaa tämä tehtävä, mutta käyttämällä cmdlet-komentoa ADComputer on vankka vaihtoehto, koska se palauttaa todella runsaan tietojoukon jokaisesta solmusta:
import-module activedirectory Get-ADComputer -property * -filter { ipv4address -eq ‘10.10.10.10’}Jos nopeus suurissa verkoissa on ongelma, DNS-takaisinsoittoa voidaan käyttää:
[System.Net.Dns]::GetHostEntry(‘10.10.10.10’).HostName
Tämä isäntien luettelointitapa verkossa on erittäin suosittu, koska useimmat verkot eivät käytä nollaluottamustietoturvamallia eivätkä valvo sisäisiä DNS-kyselyitä epäilyttävien toimintojen varalta.
Vaihe 2: Valitse kohde
Tämän vaiheen lopputuloksena on luettelo palvelimien ja työasemien isäntänimistä, joita voidaan käyttää hyökkäyksen jatkamiseen.
Nimen perusteella 'HUB-FILER'-palvelin vaikuttaa arvokkaalta kohteelta Ajan myötä tiedostopalvelimet keräävät yleensä suuren määrän verkkokansioita ja liian monien ihmisten pääsyä niihin.
Selaamalla Windowsin Resurssienhallinnassa voimme havaita avoimen jaetun kansion olemassaolon, mutta nykyinen tilimme ei pääse siihen (todennäköisesti meillä on vain listausoikeudet).
Vaihe 3: Opi ACL-luettelot
Nyt voimme HUB-FILER-isännässämme ja kohdeosuudessamme suorittaa PowerShell-komentosarjan saadaksemme ACL:n. Voimme tehdä tämän paikalliselta koneelta, koska meillä on jo paikalliset järjestelmänvalvojan oikeudet:
(get-acl hub-filershare).access | ft IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags –autoToteutuksen tulos:
Siitä näemme, että Domain Users -ryhmällä on pääsy vain listaukseen, mutta myös Helpdesk-ryhmällä on muuttooikeudet.
Vaihe 4: Tilin tunnistaminen
Juoksemalla , voimme saada kaikki tämän ryhmän jäsenet:
Get-ADGroupMember -identity Helpdesk
Tässä luettelossa näemme tietokonetilin, jonka olemme jo tunnistaneet ja joita olemme jo käyttäneet:
Vaihe 5: Käytä PSExeciä tietokoneen tilinä
Microsoft Sysinternalsin avulla voit suorittaa komentoja SYSTEM@HUB-SHAREPOINT-järjestelmätilin yhteydessä, jonka tiedämme olevan Helpdeskin kohderyhmän jäsen. Eli meidän tarvitsee vain tehdä:
PsExec.exe -s -i cmd.exeNo, sitten sinulla on täysi pääsy kohdekansioon HUB-FILERshareHR, koska työskentelet HUB-SHAREPOINT-tietokonetilin yhteydessä. Ja tällä pääsyllä tiedot voidaan kopioida kannettavalle tallennuslaitteelle tai muuten hakea ja lähettää verkon kautta.
Vaihe 6: Tämän hyökkäyksen havaitseminen
Tämä tietty tilin käyttöoikeuksien virityshaavoittuvuus (tietokonetilit, jotka käyttävät verkko-osuuksia käyttäjätilien tai palvelutilien sijaan) voidaan löytää. Ilman oikeita työkaluja tämä on kuitenkin erittäin vaikeaa.
Tämän luokan hyökkäysten havaitsemiseksi ja estämiseksi voimme käyttää tunnistaa ryhmät, joissa on tietokonetilejä, ja estää sitten pääsyn niihin. menee pidemmälle ja antaa sinun luoda ilmoituksen nimenomaan tällaista skenaariota varten.
Alla oleva kuvakaappaus näyttää mukautetun ilmoituksen, joka käynnistyy aina, kun tietokonetili käyttää valvotun palvelimen tietoja.
Seuraavat vaiheet PowerShellin kanssa
Haluatko tietää lisää? Käytä "blogin" lukituksen avauskoodia saadaksesi ilmaisen pääsyn kaikkiin .
Lähde: will.com