Privilegeeskalaasje is it brûken fan 'e aktuele akkountrjochten fan in oanfaller om ekstra, meastal hegere, tagongsnivo's ta it systeem te krijen. Wylst privileezje-eskalaasje it gefolch wêze kin fan eksploaten fan nul-dagen, masterhackers dy't in doelrjochte oanfal lansearje, of tûk ferklaaide malware, komt it meast foar fanwegen komputer of akkount miskonfiguraasje. Troch de oanfal fierder te ûntwikkeljen, eksploitearje oanfallers in oantal yndividuele kwetsberens, dy't tegearre kinne liede ta in katastrofysk gegevenslek.
Wêrom soene brûkers gjin lokale behearderrjochten hawwe?
As jo in befeiligingsprofesjonele binne, kin it fanselssprekkend lykje dat brûkers gjin lokale behearderrjochten moatte hawwe, om't dit:
- Makket har akkounts kwetsberer foar ferskate oanfallen
- Makket dizze deselde oanfallen folle serieuzer
Spitigernôch is dit foar in protte organisaasjes noch altyd in tige kontroversjele kwestje en wurdt soms begelaat troch fûle diskusjes (sjoch bgl. ). Sûnder de details fan dizze diskusje yn te gean, leauwe wy dat de oanfaller lokale behearderrjochten krige op it ûndersochte systeem, itsij troch in eksploitaasje of omdat de masines net goed befeilige wiene.
Stap 1: DNS-nammeresolúsje omkeare mei PowerShell
Standert is PowerShell ynstalleare op in protte lokale wurkstasjons en op de measte Windows-tsjinners. En hoewol it net sûnder oerdriuwing wurdt beskôge as in ongelooflijk brûkber automatisearring- en kontrôleark, is it likegoed yn steat om te feroarjen yn in hast ûnsichtber (in hackingprogramma dat gjin spoaren fan in oanfal efterlit).
Yn ús gefal begjint de oanfaller netwurkferkenning út te fieren mei in PowerShell-skript, sequentially iterearjen troch de IP-adresromte fan it netwurk, besykje te bepalen oft in opjûne IP oplost nei in host, en as dat sa is, wat de netwurknamme fan dy host is.
D'r binne in protte manieren om dizze taak út te fieren, mar mei de cmdlet ADComputer is in betroubere opsje om't it in echt rike set gegevens oer elke knooppunt werombringt:
import-module activedirectory Get-ADComputer -property * -filter { ipv4address -eq ‘10.10.10.10’}As snelheid op grutte netwurken in probleem is, kin in omkearde DNS-systeemoprop brûkt wurde:
[System.Net.Dns]::GetHostEntry(‘10.10.10.10’).HostName
Dizze metoade foar it opteljen fan hosts op in netwurk is heul populêr, om't de measte netwurken gjin befeiligingsmodel fan nul fertrouwen brûke en ynterne DNS-fragen net kontrolearje foar fertochte bursts fan aktiviteit.
Stap 2: Selektearje in doel
It einresultaat fan dizze stap is om in list mei server- en wurkstasjonhostnammen te krijen dy't brûkt wurde kinne om de oanfal troch te gean.
Op grûn fan syn namme liket de 'HUB-FILER'-tsjinner in weardich doel, om't ... Yn 'e rin fan' e tiid hawwe bestânservers de neiging om in grut oantal netwurkmappen te sammeljen en tefolle tagong ta har troch te folle minsken.
Blêdzje mei Windows Explorer lit ús bepale dat d'r in iepen dielde map is, mar ús hjoeddeistige akkount kin der net tagong krije (wy hawwe wierskynlik allinich listrjochten).
Stap 3: Learje de ACL
No op ús HUB-FILER-host en doeldiel kinne wy it PowerShell-skript útfiere om de ACL te krijen. Wy kinne dit dwaan fanôf de lokale masine, om't wy al lokale behearderrjochten hawwe:
(get-acl hub-filershare).access | ft IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags –autoUtfierresultaat:
Dêrút sjogge wy dat de groep Domain Users allinich tagong hat ta de fermelding, mar de Helpdesk-groep hat ek bewurkingsrjochten.
Stap 4: Account Identifikaasje
Te rinnen , kinne wy alle leden fan dizze groep krije:
Get-ADGroupMember -identity Helpdesk
Yn dizze list sjogge wy it kompjûteraccount dat wy al identifisearre hawwe en al tagong hawwe:
Stap 5: Brûk PSExec om te wurkjen ûnder in kompjûteraccount
fan Microsoft Sysinternals kinne jo kommando's útfiere yn 'e kontekst fan it SYSTEM@HUB-SHAREPOINT-systeemakkount, dat wy witte is lid fan' e Helpdesk-doelgroep. Dat is, wy moatte gewoan dwaan:
PsExec.exe -s -i cmd.exeNo, dan hawwe jo folsleine tagong ta de doelmap HUB-FILERshareHR, om't jo wurkje yn 'e kontekst fan it HUB-SHAREPOINT-kompjûterakkount. En mei dizze tagong kinne gegevens kopiearre wurde nei in draachbere opslachapparaat of oars ophelle en oerdroegen wurde oer it netwurk.
Stap 6: Detecting dizze oanfal
Dizze bepaalde kwetsberens foar konfiguraasje fan tagongsrjochten foar akkounts (kompjûterakkounts dy't tagong krije ta netwurkdielen ynstee fan brûkersakkounts of tsjinstakkounts) kin ûntdutsen wurde. Sûnder de juste ark is dit lykwols heul lestich om te dwaan.
Om dizze kategory oanfallen te ûntdekken en te foarkommen, kinne wy brûke om groepen te identifisearjen mei kompjûterakkounts yn har, en dan tagong ta harren wegerje. giet fierder en kinne jo meitsje in notifikaasje spesifyk foar dit soarte fan senario.
De skermôfbylding hjirûnder lit in oanpaste notifikaasje sjen dy't sil wurde aktivearre as in kompjûteraccount tagong hat ta gegevens op 'e kontroleare tsjinner.
Folgjende stappen mei help fan PowerShell
Wolle jo mear witte? Brûk de ûntskoattelkoade "blog" foar fergese tagong ta it folsleine .
Boarne: www.habr.com