PowerShell을 사용하여 로컬 계정의 권한 상승

권한 에스컬레이션은 공격자가 계정의 현재 권한을 사용하여 일반적으로 더 높은 수준의 시스템 액세스 권한을 얻는 것입니다. 권한 상승은 제로데이 취약점을 악용한 결과일 수도 있고, 표적 공격을 수행하는 일류 해커의 작업 또는 잘 위장된 맬웨어의 결과일 수도 있지만 대부분 컴퓨터나 계정의 잘못된 구성으로 인한 것입니다. 공격을 더욱 발전시키면서 공격자는 다수의 개별 취약점을 사용하여 치명적인 데이터 유출로 이어질 수 있습니다.

사용자에게 로컬 관리자 권한이 없어야 하는 이유는 무엇입니까?

보안 전문가라면 다음과 같이 사용자에게 로컬 관리자 권한이 없어야 한다는 것이 명백해 보일 수 있습니다.

• 계정을 다양한 공격에 더 취약하게 만듭니다.
• 동일한 공격을 훨씬 더 심하게 만듭니다.

불행히도 많은 조직에서 이는 여전히 논란의 여지가 있는 문제이며 때때로 열띤 토론이 수반됩니다(예를 들어, 내 상사는 모든 사용자가 로컬 관리자여야 한다고 합니다.). 이 논의의 세부 사항으로 이동하지 않고 우리는 공격자가 익스플로잇을 통해 또는 시스템이 제대로 보호되지 않았기 때문에 조사 중인 시스템에 대한 로컬 관리자 권한을 얻었다고 생각합니다.

1단계PowerShell을 사용하여 역방향 DNS 확인

기본적으로 PowerShell은 많은 로컬 워크스테이션과 대부분의 Windows 서버에 설치됩니다. 매우 유용한 자동화 및 제어 도구로 간주되는 것은 과장이 없는 것이 아니지만, 거의 보이지 않는 것으로 스스로를 변형시킬 수도 있습니다. 파일리스 멀웨어 (공격 흔적을 남기지 않는 해킹 프로그램)

우리의 경우, 공격자는 PowerShell 스크립트를 사용하여 네트워크 정찰을 시작하고 네트워크 IP 주소 공간을 순차적으로 반복하면서 지정된 IP가 호스트로 확인되는지 여부를 확인하려고 합니다. 그렇다면 이 호스트의 네트워크 이름은 무엇입니까?
이 작업을 수행하는 방법에는 여러 가지가 있지만 cmdlet을 사용하여 가져 오기-ADComputer는 각 노드에 대한 매우 풍부한 데이터 집합을 반환하기 때문에 확실한 옵션입니다.

 import-module activedirectory Get-ADComputer -property * -filter { ipv4address -eq ‘10.10.10.10’}

대규모 네트워크의 속도가 문제인 경우 DNS 콜백을 사용할 수 있습니다.

[System.Net.Dns]::GetHostEntry(‘10.10.10.10’).HostName

네트워크에서 호스트를 나열하는 이 방법은 대부분의 네트워크가 제로 트러스트 보안 모델을 사용하지 않고 의심스러운 활동 버스트에 대해 내부 DNS 쿼리를 모니터링하지 않기 때문에 매우 널리 사용됩니다.

2단계: 대상 선택

이 단계의 최종 결과는 공격을 계속하는 데 사용할 수 있는 서버 및 워크스테이션 호스트 이름 목록을 얻는 것입니다.

이름부터 'HUB-FILER' 서버가 타깃이 될 것 같다. 시간이 지남에 따라 파일 서버는 일반적으로 많은 수의 네트워크 폴더를 축적하고 너무 많은 사람들이 과도한 액세스를 합니다.

Windows 탐색기로 탐색하면 열려 있는 공유 폴더의 존재를 감지할 수 있지만 현재 계정으로는 액세스할 수 없습니다(아마도 목록 권한만 있을 것입니다).

3단계: ACL 알아보기

이제 HUB-FILER 호스트 및 대상 공유에서 PowerShell 스크립트를 실행하여 ACL을 가져올 수 있습니다. 이미 로컬 관리자 권한이 있으므로 로컬 시스템에서 이 작업을 수행할 수 있습니다.

(get-acl hub-filershare).access | ft IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags –auto

실행 결과:

여기에서 도메인 사용자 그룹은 목록에만 액세스할 수 있지만 헬프데스크 그룹도 변경할 수 있는 권한이 있음을 알 수 있습니다.

4단계: 계정 확인

달리기 Get-ADGroupMember, 이 그룹의 모든 구성원을 얻을 수 있습니다.

Get-ADGroupMember -identity Helpdesk

이 목록에는 이미 식별하고 이미 액세스한 컴퓨터 계정이 표시됩니다.

5단계: PSExec을 사용하여 컴퓨터 계정으로 실행

PsExec의 Microsoft Sysinternals에서 헬프데스크 대상 그룹의 구성원인 SYSTEM@HUB-SHAREPOINT 시스템 계정의 컨텍스트에서 명령을 실행할 수 있습니다. 즉, 다음과 같이 하면 됩니다.

PsExec.exe -s -i cmd.exe

그러면 HUB-SHAREPOINT 컴퓨터 계정의 컨텍스트에서 작업하고 있으므로 대상 폴더 HUB-FILERshareHR에 대한 전체 액세스 권한이 있습니다. 그리고 이 액세스를 통해 데이터를 휴대용 저장 장치에 복사하거나 검색하고 네트워크를 통해 전송할 수 있습니다.

6단계: 이 공격 탐지

이 특정 계정 권한 조정 취약점(사용자 계정이나 서비스 계정 대신 네트워크 공유에 액세스하는 컴퓨터 계정)을 발견할 수 있습니다. 그러나 올바른 도구가 없으면 이 작업을 수행하기가 매우 어렵습니다.

이 범주의 공격을 탐지하고 방지하기 위해 다음을 사용할 수 있습니다. 데이터 어드밴티지 컴퓨터 계정이 있는 그룹을 식별한 다음 해당 그룹에 대한 액세스를 거부합니다. DataAlert 더 나아가 이러한 종류의 시나리오에 대해 특별히 알림을 만들 수 있습니다.

아래 스크린샷은 컴퓨터 계정이 모니터링되는 서버의 데이터에 액세스할 때마다 실행되는 사용자 지정 알림을 보여줍니다.

PowerShell을 사용한 다음 단계

더 알고 싶으세요? 전체에 무료로 액세스하려면 "블로그" 잠금 해제 코드를 사용하십시오. PowerShell 및 Active Directory 기초 동영상 과정.

출처 : habr.com