A privilégium-kiterjesztés azt jelenti, hogy a támadó a fiók jelenlegi jogait használja fel további, általában magasabb szintű hozzáféréshez a rendszerhez. Míg a privilégiumok kiszélesítése a nulladik napi sebezhetőségek kihasználásának, vagy az első osztályú hackerek célzott támadást végrehajtó munkájának, vagy ügyesen álcázott rosszindulatú programoknak köszönhető, ennek oka leggyakrabban a számítógép vagy a fiók hibás konfigurálása. A támadást továbbfejlesztve a támadók számos egyedi sebezhetőséget használnak fel, amelyek együttesen katasztrofális adatszivárgáshoz vezethetnek.
Miért ne rendelkezhetnének helyi rendszergazdai jogokkal a felhasználók?
Ha Ön biztonsági szakember, nyilvánvalónak tűnhet, hogy a felhasználóknak nem kell helyi rendszergazdai jogokkal rendelkezniük, mivel ez:
- Sebezhetőbbé teszi fiókjaikat a különféle támadásokkal szemben
- Ugyanezeket a támadásokat sokkal súlyosabbá teszi
Sajnos sok szervezet számára ez még mindig nagyon vitatott kérdés, és néha heves viták kísérik (lásd pl.
1. lépés DNS-feloldás fordítottja a PowerShell segítségével
Alapértelmezés szerint a PowerShell számos helyi munkaállomáson és a legtöbb Windows-kiszolgálón telepítve van. És bár nem túlzás nélkül hihetetlenül hasznos automatizálási és vezérlőeszköznek tartják, ugyanúgy képes szinte láthatatlanná átalakulni.
Esetünkben a támadó egy PowerShell-szkript segítségével kezdi meg a hálózati felderítést, szekvenciálisan iterálva a hálózati IP-címtartományon keresztül, és megpróbálja meghatározni, hogy egy adott IP-cím feloldódik-e egy gazdagéphez, és ha igen, mi ennek a gazdagépnek a hálózati neve.
Számos módja van ennek a feladatnak, de a parancsmag használatával
import-module activedirectory Get-ADComputer -property * -filter { ipv4address -eq ‘10.10.10.10’}
Ha a sebesség nagy hálózatokon probléma, akkor DNS-visszahívás használható:
[System.Net.Dns]::GetHostEntry(‘10.10.10.10’).HostName
A gazdagépek hálózaton való felsorolásának ez a módszere nagyon népszerű, mivel a legtöbb hálózat nem használ zéró bizalmi biztonsági modellt, és nem figyeli a belső DNS-kéréseket a gyanús tevékenységkitörések miatt.
2. lépés: Válasszon célt
Ennek a lépésnek a végeredménye a támadás folytatásához használható kiszolgáló- és munkaállomás-gazdanevek listája.
A név alapján a 'HUB-FILER' szerver méltó célpontnak tűnik, hiszen idővel a fájlszerverek általában nagyszámú hálózati mappát halmoznak fel, és túl sok ember fér hozzájuk.
A Windows Intézővel való böngészés lehetővé teszi, hogy észleljük egy nyitott megosztott mappa jelenlétét, de a jelenlegi fiókunk nem fér hozzá (valószínűleg csak listázási jogunk van).
3. lépés: Ismerje meg az ACL-eket
Most a HUB-FILER gazdagépünkön és célmegosztásunkon egy PowerShell-szkriptet futtathatunk az ACL beszerzéséhez. Ezt megtehetjük a helyi gépről, mivel már rendelkezünk helyi rendszergazdai jogokkal:
(get-acl hub-filershare).access | ft IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags –auto
A végrehajtás eredménye:
Ebből azt látjuk, hogy a Domain Users csoport csak a listához fér hozzá, de a Helpdesk csoportnak is van változtatási joga.
4. lépés: Számlaazonosító
Futás
Get-ADGroupMember -identity Helpdesk
Ebben a listában egy olyan számítógépes fiókot látunk, amelyet már azonosítottunk, és amelyet már elértünk:
5. lépés: Használja a PSExec-et számítógépfiókként való futtatáshoz
PsExec.exe -s -i cmd.exe
Nos, akkor teljes hozzáférése van a HUB-FILERshareHR célmappához, mivel Ön a HUB-SHAREPOINT számítógépfiók kontextusában dolgozik. Ezzel a hozzáféréssel pedig az adatok hordozható tárolóeszközre másolhatók, vagy más módon visszakereshetők és a hálózaton keresztül továbbíthatók.
6. lépés: A támadás észlelése
Felfedezhető ez a bizonyos fiókjogosultság-hangolási rés (a felhasználói fiókok vagy szolgáltatásfiókok helyett a hálózati megosztásokhoz hozzáférő számítógépes fiókok). Megfelelő eszközök nélkül azonban ezt nagyon nehéz megtenni.
Az ilyen típusú támadások észlelésére és megelőzésére használhatjuk
Az alábbi képernyőképen egy egyéni értesítés látható, amely minden alkalommal aktiválódik, amikor egy számítógépfiók hozzáfér egy felügyelt kiszolgálón lévő adatokhoz.
A PowerShell következő lépései
Többet szeretne tudni? Használja a "blog" feloldó kódot a teljes ingyenes hozzáféréshez
Forrás: will.com