Артықшылықты арттыру – шабуылдаушының жүйеге кірудің қосымша, әдетте жоғары деңгейін алу үшін есептік жазбаның ағымдағы құқықтарын пайдалануы. Артықшылықты арттыру нөлдік күндік осалдықтарды пайдаланудың немесе мақсатты шабуылды жүзеге асыратын бірінші дәрежелі хакерлердің жұмысының немесе ақылды түрде жасырылған зиянды бағдарламаның нәтижесі болуы мүмкін, бірақ бұл көбінесе компьютердің немесе тіркелгінің дұрыс конфигурацияланбауына байланысты. Шабуылды одан әрі дамыта отырып, шабуылдаушылар бірқатар жеке осалдықтарды пайдаланады, олар бірге деректердің апатты ағып кетуіне әкелуі мүмкін.
Неліктен пайдаланушыларда жергілікті әкімші құқықтары болмауы керек?
Егер сіз қауіпсіздік маманы болсаңыз, пайдаланушыларда жергілікті әкімші құқықтары болмауы керек екені анық көрінуі мүмкін, себебі:
- Олардың тіркелгілерін әртүрлі шабуылдарға осал етеді
- Дәл сол шабуылдарды әлдеқайда ауыр етеді
Өкінішке орай, көптеген ұйымдар үшін бұл әлі де өте даулы мәселе болып табылады және кейде қызу пікірталастармен бірге жүреді (мысалы, қараңыз: ). Бұл талқылаудың егжей-тегжейіне тоқталмай-ақ, шабуылдаушы эксплойт арқылы немесе машиналар дұрыс қорғалмағандықтан зерттелетін жүйеде жергілікті әкімші құқықтарына ие болды деп есептейміз.
1-қадам PowerShell көмегімен DNS ажыратымдылығын кері қайтарыңыз
Әдепкі бойынша PowerShell көптеген жергілікті жұмыс станцияларында және Windows серверлерінің көпшілігінде орнатылған. Оның керемет пайдалы автоматтандыру және басқару құралы болып саналатындығы артық емес, бірақ ол өзін көрінбейтін құралға айналдыруға қабілетті. (шабуыл ізін қалдырмайтын бұзу бағдарламасы).
Біздің жағдайда, шабуылдаушы PowerShell сценарийін пайдаланып, желілік IP мекенжай кеңістігінде дәйекті түрде итерациялай отырып, берілген IP хостқа шешілетінін анықтауға тырысады және егер солай болса, бұл хосттың желі атауы қандай екенін анықтауға тырысады.
Бұл тапсырманы орындаудың көптеген жолдары бар, бірақ командлетті пайдалану ADComputer - бұл сенімді опция, себебі ол әрбір түйін туралы өте бай деректер жинағын қайтарады:
import-module activedirectory Get-ADComputer -property * -filter { ipv4address -eq ‘10.10.10.10’}Үлкен желілердегі жылдамдық проблемасы болса, DNS кері қоңырауды пайдалануға болады:
[System.Net.Dns]::GetHostEntry(‘10.10.10.10’).HostName
Желідегі хосттарды тізімдеудің бұл әдісі өте танымал, өйткені көптеген желілер нөлдік сенімсіз қауіпсіздік үлгісін пайдаланбайды және күдікті әрекетке арналған ішкі DNS сұрауларын қадағаламайды.
2-қадам: Мақсатты таңдаңыз
Бұл қадамның соңғы нәтижесі шабуылды жалғастыру үшін пайдалануға болатын сервер мен жұмыс станциясының хост атауларының тізімін алу болып табылады.
Атауынан «HUB-FILER» сервері лайықты мақсат болып көрінеді, өйткені уақыт өте келе файлдық серверлер, әдетте, желілік қалталардың үлкен санын және оларға тым көп адамдардың шамадан тыс қол жеткізуін жинақтайды.
Windows Explorer арқылы шолу бізге ашық ортақ қалтаның бар-жоғын анықтауға мүмкіндік береді, бірақ біздің ағымдағы тіркелгіміз оған қол жеткізе алмайды (мүмкін бізде тек листинг құқығы бар).
3-қадам: ACL біліңіз
Енді HUB-FILER хостында және мақсатты үлесінде ACL алу үшін PowerShell сценарийін іске қоса аламыз. Біз мұны жергілікті құрылғыдан жасай аламыз, өйткені бізде жергілікті әкімші құқықтары бар:
(get-acl hub-filershare).access | ft IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags –autoОрындау нәтижесі:
Бұдан біз Домен пайдаланушылары тобының листингке ғана рұқсаты бар екенін көреміз, бірақ анықтамалық қызмет тобының да өзгерту құқығы бар.
4-қадам: Есептік жазбаны сәйкестендіру
Жүгіру , біз осы топтың барлық мүшелерін ала аламыз:
Get-ADGroupMember -identity Helpdesk
Бұл тізімде біз анықтаған және қол жеткізген компьютер тіркелгісін көреміз:
5-қадам: Компьютер тіркелгісі ретінде іске қосу үшін PSExec пайдаланыңыз
Microsoft Sysinternals бағдарламасы анықтамалық қызметтің мақсатты тобының мүшесі екенін білетін SYSTEM@HUB-SHAREPOINT жүйелік тіркелгісінің контекстінде пәрмендерді іске қосуға мүмкіндік береді. Яғни, бізге жай ғана істеу керек:
PsExec.exe -s -i cmd.exeСонымен, сіз HUB-FILERshareHR мақсатты қалтасына толық қол жеткізе аласыз, өйткені сіз HUB-SHAREPOINT компьютер тіркелгісінің контекстінде жұмыс істеп жатырсыз. Және бұл қатынас арқылы деректерді портативті жад құрылғысына көшіруге немесе желі арқылы басқа жолмен алуға және жіберуге болады.
6-қадам: Бұл шабуылды анықтау
Бұл арнайы тіркелгі артықшылығын реттеу осалдығын (пайдаланушы тіркелгілерінің немесе қызмет тіркелгілерінің орнына желілік ортақ пайдалануға кіретін компьютер тіркелгілері) табуға болады. Дегенмен, дұрыс құралдарсыз мұны істеу өте қиын.
Осы санаттағы шабуылдарды анықтау және алдын алу үшін біз пайдалана аламыз компьютер тіркелгілері бар топтарды анықтау, содан кейін оларға кіруге тыйым салу. әрі қарай жүреді және осы сценарий түріне арнайы хабарландыру жасауға мүмкіндік береді.
Төмендегі скриншот компьютер тіркелгісі бақыланатын сервердегі деректерге қол жеткізген сайын іске қосылатын реттелетін хабарландыруды көрсетеді.
PowerShell көмегімен келесі қадамдар
Толығырақ білгіңіз келе ме? Толығымен тегін қол жеткізу үшін «блог» құлпын ашу кодын пайдаланыңыз .
Ақпарат көзі: www.habr.com