Артыкчылыктын жогорулашы – бул чабуулчу тарабынан системага кирүүнүн кошумча, эреже катары, жогорку деңгээлге ээ болуу үчүн аккаунттун учурдагы укуктарын колдонуу. Артыкчылыктын жогорулашы нөл күндүк алсыздыктарды колдонуунун же максаттуу чабуул жасаган биринчи класстагы хакерлердин ишинин же жакшы жашырылган кесепеттүү программанын натыйжасы болушу мүмкүн, бирок бул көбүнчө компьютердин же каттоо эсебинин туура эмес конфигурациясынан улам болот. Чабуулду андан ары өркүндөтүп, чабуулчулар бир катар жеке кемчиликтерди колдонушат, алар биргелешип катастрофалык маалыматтардын агып кетишине алып келиши мүмкүн.
Эмне үчүн колдонуучулар жергиликтүү администратордук укуктарга ээ болбошу керек?
Эгер сиз коопсуздук боюнча адис болсоңуз, колдонуучулар жергиликтүү администратордук укуктарга ээ болбошу керектиги айдан ачык көрүнүшү мүмкүн, мисалы:
- Алардын аккаунттарын ар кандай чабуулдарга көбүрөөк алсыз кылат
- Ошол эле чабуулдарды алда канча оор кылат
Тилекке каршы, көптөгөн уюмдар үчүн бул дагы эле өтө талаштуу маселе жана кээде кызуу талкуулар менен коштолот (мисалы, караңыз: ). Бул талкуунун майда-чүйдөсүнө чейин кирбестен, чабуулчу эксплуат аркылуу же машиналар талаптагыдай корголбогондуктан, иликтенип жаткан системада жергиликтүү администратордук укуктарга ээ болгон деп эсептейбиз.
1-кадам: PowerShell менен кайра DNS резолюциясы
Демейки боюнча, PowerShell көптөгөн жергиликтүү иш станцияларында жана Windows серверлеринин көпчүлүгүндө орнотулган. Ал укмуштуудай пайдалуу автоматташтыруу жана башкаруу куралы катары каралса да, ал өзүн дээрлик көрүнбөгөнгө айландырууга жөндөмдүү. (чабуулдун изин калтырбаган хакердик программа).
Биздин учурда, чабуулчу PowerShell скриптин колдонуу менен тармактык чалгындоону ишке ашыра баштайт, тармактын IP дареги мейкиндигинде ырааттуу түрдө кайталанып, берилген IP хостко чечилеби же жокпу, аныктоого аракет кылат, эгер ошондой болсо, бул хосттун тармак аталышы кандай.
Бул тапшырманы аткаруу үчүн көптөгөн жолдору бар, бирок cmdlet колдонуу ADComputer - бул катуу вариант, анткени ал ар бир түйүн жөнүндө чындап эле бай маалымат топтомун кайтарат:
import-module activedirectory Get-ADComputer -property * -filter { ipv4address -eq ‘10.10.10.10’}Эгерде чоң тармактарда ылдамдык көйгөй жаратса, анда DNS кайра чалууну колдонсо болот:
[System.Net.Dns]::GetHostEntry(‘10.10.10.10’).HostName
Тармактагы хостторду листингдин бул ыкмасы абдан популярдуу, анткени көпчүлүк тармактар нөлдүк коопсуздук моделин колдонушпайт жана шектүү активдүүлүк үчүн ички DNS сурамдарына көз салышпайт.
2-кадам: Максатты тандаңыз
Бул кадамдын акыркы натыйжасы чабуулду улантуу үчүн колдонула турган сервердин жана жумушчу станциянын хост аттарынын тизмесин алуу болуп саналат.
Атынан караганда, 'HUB-FILER' сервери татыктуу максаттуу көрүнөт убакыттын өтүшү менен файл серверлери, эреже катары, көп сандагы тармактык папкаларды жана аларга өтө көп адамдардын ашыкча кирүү мүмкүнчүлүгүн топтойт.
Windows Explorer менен серептөө бизге ачык жалпы папканын бар экенин аныктоого мүмкүндүк берет, бирок биздин учурдагы каттоо эсебибиз ага кире албайт (балким, бизде листинг укуктары гана бар).
3-кадам: ACLлерди үйрөнүңүз
Эми HUB-FILER хостубузда жана максаттуу үлүшүбүздө ACL алуу үчүн PowerShell скриптин иштете алабыз. Биз муну жергиликтүү машинадан жасай алабыз, анткени бизде жергиликтүү администратор укуктары бар:
(get-acl hub-filershare).access | ft IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags –autoАткаруу натыйжасы:
Андан биз Домен колдонуучулар тобу листингге гана кире алат, бирок Helpdesk тобу да өзгөртүү укугуна ээ экенин көрөбүз.
4-кадам: Каттоо эсебин аныктоо
чуркоо , биз бул топтун бардык мүчөлөрүн ала алабыз:
Get-ADGroupMember -identity Helpdesk
Бул тизмеде биз аныктаган жана буга чейин кирген компьютердик каттоо эсебин көрөбүз:
5-кадам: PSExecти компьютердик эсеп катары иштетүү үчүн колдонуңуз
Microsoft Sysinternals'тен сизге SYSTEM@HUB-SHAREPOINT тутум эсебинин контекстинде буйруктарды иштетүүгө мүмкүндүк берет, ал биз Helpdesk максаттуу тобунун мүчөсү экенин билебиз. Башкача айтканда, биз жөн гана кылышыбыз керек:
PsExec.exe -s -i cmd.exeАнда сиз HUB-FILERshareHR максаттуу папкасына толук кире аласыз, анткени сиз HUB-SHAREPOINT компьютердик аккаунтунун контекстинде иштеп жатасыз. Жана бул мүмкүнчүлүк менен, маалыматтарды көчмө сактагычка көчүрүүгө же башка жол менен алуу жана тармак аркылуу берүүгө болот.
6-кадам: Бул чабуулду аныктоо
Бул өзгөчө каттоо эсебинин артыкчылыктарын тууралоонун аялуу жери (колдонуучунун же кызмат эсептеринин ордуна тармак бөлүшүүлөрүнө кире турган компьютер каттоо эсептери) табылышы мүмкүн. Бирок, туура аспаптар жок, бул өтө кыйынга турат.
Бул категориядагы чабуулдарды аныктоо жана алдын алуу үчүн биз колдоно алабыз аларда компьютер эсептери бар топторду аныктоо, андан кийин аларга кирүүгө тыюу салуу. андан ары барат жана бул сценарий үчүн атайын эскертмени түзүүгө мүмкүндүк берет.
Төмөндөгү скриншот компьютердик каттоо эсеби көзөмөлдөнгөн сервердеги маалыматтарга кирген сайын күйгүзүлө турган ыңгайлаштырылган эскертмени көрсөтөт.
PowerShell менен кийинки кадамдар
Көбүрөөк билгиңиз келеби? Толугу менен акысыз кирүү үчүн "блогдун" кулпусун ачуу кодун колдонуңуз .
Source: www.habr.com