Արտոնությունների ընդլայնումը հարձակվողի կողմից հաշվի ընթացիկ իրավունքների օգտագործումն է՝ համակարգ մուտք գործելու լրացուցիչ, սովորաբար ավելի բարձր մակարդակ ստանալու համար: Թեև արտոնությունների էսկալացիան կարող է լինել զրոյական օրվա խոցելիության կամ առաջին կարգի հաքերների աշխատանքի, որոնք իրականացնում են թիրախավորված հարձակում, կամ խելացիորեն քողարկված չարամիտ ծրագրերի հետևանք, դա ամենից հաճախ պայմանավորված է համակարգչի կամ հաշվի սխալ կազմաձևմամբ: Հարձակումը հետագայում զարգացնելով՝ հարձակվողներն օգտագործում են մի շարք անհատական խոցելիություններ, որոնք միասին կարող են հանգեցնել տվյալների աղետալի արտահոսքի:
Ինչու՞ օգտվողները չպետք է ունենան տեղական ադմինիստրատորի իրավունքներ:
Եթե դուք անվտանգության մասնագետ եք, կարող է ակնհայտ թվալ, որ օգտվողները չպետք է ունենան տեղական ադմինիստրատորի իրավունքներ, քանի որ սա.
- Նրանց հաշիվներն ավելի խոցելի է դարձնում տարբեր հարձակումների նկատմամբ
- Նույն հարձակումները շատ ավելի դաժան է դարձնում
Ցավոք, շատ կազմակերպությունների համար սա դեռ շատ վիճելի հարց է և երբեմն ուղեկցվում է բուռն քննարկումներով (տե՛ս, օրինակ.
Քայլ 1Հակադարձ DNS բանաձեւը PowerShell-ով
Լռելյայնորեն, PowerShell-ը տեղադրված է շատ տեղական աշխատակայաններում և Windows սերվերների մեծ մասում: Եվ չնայած առանց չափազանցության չէ, որ այն համարվում է աներևակայելի օգտակար ավտոմատացման և կառավարման գործիք, այն հավասարապես ի վիճակի է վերածվել գրեթե անտեսանելիի:
Մեր դեպքում հարձակվողը սկսում է ցանցի հետախուզում կատարել՝ օգտագործելով PowerShell սկրիպտը, հաջորդաբար կրկնելով ցանցի IP հասցեի տարածությունը՝ փորձելով որոշել, թե արդյոք տվյալ IP-ն լուծվում է հոսթին, և եթե այո, ապա ո՞րն է այս հոսթի ցանցի անունը:
Այս առաջադրանքն իրականացնելու բազմաթիվ եղանակներ կան, բայց օգտագործելով cmdlet
import-module activedirectory Get-ADComputer -property * -filter { ipv4address -eq ‘10.10.10.10’}
Եթե մեծ ցանցերում արագությունը խնդիր է, ապա կարող է օգտագործվել DNS հետադարձ զանգ.
[System.Net.Dns]::GetHostEntry(‘10.10.10.10’).HostName
Ցանցում հոսթինգների ցուցակագրման այս մեթոդը շատ տարածված է, քանի որ ցանցերի մեծ մասը չի օգտագործում զրոյական վստահության անվտանգության մոդել և չի վերահսկում ներքին DNS հարցումները կասկածելի ակտիվության համար:
Քայլ 2. Ընտրեք թիրախ
Այս քայլի վերջնական արդյունքը սերվերի և աշխատակայանների հոսթների անունների ցուցակ ստանալն է, որոնք կարող են օգտագործվել հարձակումը շարունակելու համար:
Անվանումից «HUB-FILER» սերվերը թվում է արժանի թիրախ, քանի որ ժամանակի ընթացքում ֆայլերի սերվերները, որպես կանոն, կուտակում են մեծ թվով ցանցային թղթապանակներ և չափից շատ մարդկանց կողմից դրանց ավելորդ մուտք:
Windows Explorer-ով զննարկումը թույլ է տալիս մեզ հայտնաբերել բաց ընդհանուր թղթապանակի առկայությունը, սակայն մեր ընթացիկ հաշիվը չի կարող մուտք գործել դրան (հավանաբար մենք ունենք միայն ցուցակման իրավունքներ):
Քայլ 3. Սովորեք ACL-ները
Այժմ, մեր HUB-FILER հոսթի և թիրախային համօգտագործման վրա, մենք կարող ենք գործարկել PowerShell սկրիպտը ACL-ը ստանալու համար: Մենք կարող ենք դա անել տեղական մեքենայից, քանի որ մենք արդեն ունենք տեղական ադմինիստրատորի իրավունքներ.
(get-acl hub-filershare).access | ft IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags –auto
Կատարման արդյունքը.
Դրանից մենք տեսնում ենք, որ Domain Users խմբին հասանելի է միայն ցուցակը, բայց Helpdesk խումբը նույնպես փոխելու իրավունք ունի:
Քայլ 4. Հաշվի նույնականացում
Վազում
Get-ADGroupMember -identity Helpdesk
Այս ցուցակում մենք տեսնում ենք համակարգչային հաշիվ, որը մենք արդեն նույնականացրել ենք և արդեն մուտք ենք գործել.
Քայլ 5. Օգտագործեք PSExec՝ որպես համակարգչային հաշիվ գործարկելու համար
PsExec.exe -s -i cmd.exe
Դե, ուրեմն դուք լիարժեք մուտք ունեք դեպի թիրախային թղթապանակ HUB-FILERshareHR, քանի որ դուք աշխատում եք HUB-SHAREPOINT համակարգչային հաշվի համատեքստում: Եվ այս հասանելիությամբ տվյալները կարող են պատճենվել շարժական պահեստավորման սարքին կամ այլ կերպ առբերվել և փոխանցվել ցանցով:
Քայլ 6. Այս հարձակումը հայտնաբերելը
Հաշվի արտոնությունների կարգավորման այս կոնկրետ խոցելիությունը (համակարգչային հաշիվներ, որոնք մուտք են գործում ցանցի բաժնետոմսեր՝ օգտատերերի կամ ծառայության հաշիվների փոխարեն): Այնուամենայնիվ, առանց համապատասխան գործիքների, դա շատ դժվար է անել:
Այս կատեգորիայի հարձակումները հայտնաբերելու և կանխելու համար մենք կարող ենք օգտագործել
Ստորև բերված սքրինշոթը ցույց է տալիս հատուկ ծանուցում, որը կգործարկվի ամեն անգամ, երբ համակարգչային հաշիվը մուտք է գործում վերահսկվող սերվերի տվյալները:
Հաջորդ քայլերը PowerShell-ի հետ
Ցանկանու՞մ եք ավելին իմանալ: Ամբողջական անվճար մուտքի համար օգտագործեք «բլոգի» բացման կոդը
Source: www.habr.com