Eskalasi hak istimewa yaiku panggunaan hak-hak akun saiki dening panyerang kanggo entuk tambahan, biasane tingkat akses sing luwih dhuwur menyang sistem. Nalika eskalasi hak istimewa bisa dadi akibat saka ngeksploitasi kerentanan nol dina, utawa karya peretas kelas siji sing nindakake serangan sing ditargetake, utawa malware sing nyamar kanthi pinter, paling asring amarga kesalahan konfigurasi komputer utawa akun. Ngembangake serangan luwih lanjut, panyerang nggunakake sawetara kerentanan individu, sing bebarengan bisa nyebabake kebocoran data bencana.
Napa pangguna ora duwe hak administrator lokal?
Yen sampeyan profesional keamanan, bisa uga ketok yen pangguna ora duwe hak administrator lokal, kaya mangkene:
- Ndadekake akun luwih rentan marang macem-macem serangan
- Ndadekake serangan sing padha luwih abot
Sayange, kanggo akeh organisasi, iki isih dadi masalah sing kontroversial lan kadhangkala diiringi diskusi panas (ndeleng, contone, ). Tanpa nerangake rincian diskusi iki, kita yakin manawa panyerang entuk hak administrator lokal ing sistem sing diselidiki, liwat eksploitasi utawa amarga mesin kasebut ora dilindhungi kanthi bener.
Langkah 1 Reverse DNS Resolution karo PowerShell
Secara default, PowerShell diinstal ing akeh workstation lokal lan ing umume server Windows. Lan sanajan ora keluwih-luwih yen dianggep minangka alat otomatisasi lan kontrol sing luar biasa migunani, nanging uga bisa ngowahi awake dhewe dadi meh ora katon. (program hacking sing ora ninggalake jejak serangan).
Ing kasus kita, panyerang wiwit nindakake pengintaian jaringan nggunakake skrip PowerShell, kanthi urut-urutan ngubengi ruang alamat IP jaringan, nyoba kanggo nemtokake manawa IP sing diwenehake bakal rampung menyang host, lan yen ya, apa jeneng jaringan host iki.
Ana akeh cara kanggo ngrampungake tugas iki, nanging nggunakake cmdlet ADComputer minangka pilihan sing padhet amarga ngasilake data sing sugih banget babagan saben simpul:
import-module activedirectory Get-ADComputer -property * -filter { ipv4address -eq β10.10.10.10β}Yen kacepetan ing jaringan gedhe dadi masalah, mula panggilan balik DNS bisa digunakake:
[System.Net.Dns]::GetHostEntry(β10.10.10.10β).HostName
Cara daftar host ing jaringan iki populer banget, amarga umume jaringan ora nggunakake model keamanan nul-trust lan ora ngawasi pitakon DNS internal kanggo aktivitas sing curiga.
Langkah 2: Pilih target
Asil pungkasan saka langkah iki yaiku entuk dhaptar jeneng host server lan workstation sing bisa digunakake kanggo nerusake serangan kasebut.
Saka jeneng, server 'HUB-FILER' misale jek kaya target pantes, wiwit liwat wektu, server file, minangka aturan, nglumpukake nomer akeh folder jaringan lan akses gedhe banget kanggo wong akeh banget.
Njelajah nganggo Windows Explorer ngidini kita ndeteksi anane folder sing dienggo bareng sing mbukak, nanging akun saiki ora bisa ngakses (mbokmenawa mung duwe hak dhaptar).
Langkah 3: Sinau ACL
Saiki, ing host HUB-FILER lan bagean target, kita bisa mbukak skrip PowerShell kanggo entuk ACL. Kita bisa nindakake iki saka mesin lokal, amarga kita wis duwe hak administrator lokal:
(get-acl hub-filershare).access | ft IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags βautoHasil eksekusi:
Saka iku, kita bisa ndeleng manawa klompok Pangguna Domain mung nduweni akses menyang dhaptar, nanging klompok Helpdesk uga duwe hak kanggo ngganti.
Langkah 4: Identifikasi akun
mlaku , kita bisa njaluk kabeh anggota saka grup iki:
Get-ADGroupMember -identity Helpdesk
Ing dhaptar iki, kita ndeleng akun komputer sing wis diidentifikasi lan wis diakses:
Langkah 5: Gunakake PSExec kanggo mbukak minangka akun komputer
saka Microsoft Sysinternals ngijini sampeyan kanggo nglakokakΓ© printah ing konteks akun sistem SYSTEM@HUB-SHAREPOINT, sing kita ngerti minangka anggota saka grup target Helpdesk. Sing, kita mung kudu nindakake:
PsExec.exe -s -i cmd.exeDadi, sampeyan duwe akses lengkap menyang folder target HUB-FILERshareHR, amarga sampeyan nggarap konteks akun komputer HUB-SHAREPOINT. Lan kanthi akses iki, data bisa disalin menyang piranti panyimpenan portabel utawa dijupuk lan dikirim liwat jaringan.
Langkah 6: Ndeteksi serangan iki
Kerentanan tuning hak istimewa akun tartamtu iki (akun komputer sing ngakses jaringan jaringan tinimbang akun pangguna utawa akun layanan) bisa ditemokake. Nanging, tanpa alat sing tepat, iki angel banget ditindakake.
Kanggo ndeteksi lan nyegah kategori serangan iki, kita bisa nggunakake kanggo ngenali grup karo akun komputer ing wong, banjur nolak akses kanggo wong-wong mau. luwih maju lan ngidini sampeyan nggawe kabar khusus kanggo skenario kaya iki.
Gambar ing ngisor iki nuduhake kabar khusus sing bakal murub saben akun komputer ngakses data ing server sing dipantau.
Langkah sabanjure nganggo PowerShell
Pengin ngerti luwih akeh? Gunakake kode bukak kunci "blog" kanggo akses gratis kanthi lengkap .
Source: www.habr.com