പ്രാദേശിക അക്കൗണ്ടുകളുടെ പ്രത്യേകാവകാശം ഉയർത്താൻ PowerShell ഉപയോഗിക്കുന്നു

അധികമായി, സാധാരണയായി സിസ്റ്റത്തിലേക്കുള്ള ആക്‌സസ്സിന്റെ ഉയർന്ന തലത്തിലുള്ള ഒരു അക്കൗണ്ടിന്റെ നിലവിലെ അവകാശങ്ങൾ ആക്രമിക്കുന്നയാൾ ഉപയോഗിക്കുന്നതാണ് പ്രിവിലേജ് വർദ്ധനവ്. പ്രത്യേകാവകാശ വർദ്ധനവ് സീറോ-ഡേ കേടുപാടുകൾ മുതലെടുക്കുന്നതിന്റെ ഫലമായിരിക്കാം, അല്ലെങ്കിൽ ടാർഗെറ്റുചെയ്‌ത ആക്രമണം നടത്തുന്ന ഫസ്റ്റ് ക്ലാസ് ഹാക്കർമാരുടെ പ്രവർത്തനത്തിന്റെ ഫലമായിരിക്കാം, അല്ലെങ്കിൽ സമർത്ഥമായി വേഷംമാറിയ ക്ഷുദ്രവെയറുകൾ, ഇത് കമ്പ്യൂട്ടറിന്റെയോ അക്കൗണ്ടിന്റെയോ തെറ്റായ കോൺഫിഗറേഷൻ മൂലമാണ്. ആക്രമണം കൂടുതൽ വികസിപ്പിച്ചുകൊണ്ട്, ആക്രമണകാരികൾ നിരവധി വ്യക്തിഗത കേടുപാടുകൾ ഉപയോഗിക്കുന്നു, അത് ഒരുമിച്ച് ഒരു ദുരന്തകരമായ ഡാറ്റ ചോർച്ചയിലേക്ക് നയിച്ചേക്കാം.

എന്തുകൊണ്ട് ഉപയോക്താക്കൾക്ക് പ്രാദേശിക അഡ്മിനിസ്ട്രേറ്റർ അവകാശങ്ങൾ പാടില്ല?

നിങ്ങളൊരു സെക്യൂരിറ്റി പ്രൊഫഷണലാണെങ്കിൽ, ഉപയോക്താക്കൾക്ക് പ്രാദേശിക അഡ്മിനിസ്ട്രേറ്റർ അവകാശങ്ങൾ ഉണ്ടാകരുതെന്ന് വ്യക്തമായി തോന്നിയേക്കാം:

• വിവിധ ആക്രമണങ്ങൾക്ക് അവരുടെ അക്കൗണ്ടുകളെ കൂടുതൽ ദുർബലമാക്കുന്നു
• അതേ ആക്രമണങ്ങളെ കൂടുതൽ രൂക്ഷമാക്കുന്നു

നിർഭാഗ്യവശാൽ, പല ഓർഗനൈസേഷനുകൾക്കും ഇത് ഇപ്പോഴും വളരെ വിവാദപരമായ ഒരു പ്രശ്നമാണ്, ചിലപ്പോൾ ചൂടേറിയ ചർച്ചകളോടൊപ്പമുണ്ട് (ഉദാഹരണത്തിന്, കാണുക, എല്ലാ ഉപയോക്താക്കളും പ്രാദേശിക അഡ്‌മിനുകൾ ആയിരിക്കണം എന്ന് എന്റെ സൂപ്പർവൈസർ പറയുന്നു). ഈ ചർച്ചയുടെ വിശദാംശങ്ങളിലേക്ക് കടക്കാതെ, ആക്രമണകാരിക്ക് അന്വേഷണത്തിലുള്ള സിസ്റ്റത്തിൽ പ്രാദേശിക അഡ്മിനിസ്ട്രേറ്റർ അവകാശങ്ങൾ ലഭിച്ചുവെന്ന് ഞങ്ങൾ വിശ്വസിക്കുന്നു, ഒന്നുകിൽ ഒരു ചൂഷണത്തിലൂടെയോ അല്ലെങ്കിൽ മെഷീനുകൾ ശരിയായി സംരക്ഷിക്കപ്പെടാത്തതുകൊണ്ടോ.

ഘട്ടം 1 PowerShell ഉപയോഗിച്ച് DNS റെസല്യൂഷൻ റിവേഴ്സ് ചെയ്യുക

സ്ഥിരസ്ഥിതിയായി, പല പ്രാദേശിക വർക്ക്സ്റ്റേഷനുകളിലും മിക്ക വിൻഡോസ് സെർവറുകളിലും PowerShell ഇൻസ്റ്റാൾ ചെയ്തിട്ടുണ്ട്. അത് അവിശ്വസനീയമാംവിധം ഉപയോഗപ്രദമായ ഒരു ഓട്ടോമേഷനും നിയന്ത്രണ ഉപകരണവും ആയി കണക്കാക്കപ്പെടുന്നു എന്നതിൽ അതിശയോക്തിയില്ലെങ്കിലും, അത് സ്വയം അദൃശ്യമായി മാറാൻ ഒരുപോലെ പ്രാപ്തമാണ്. ഫയലില്ലാത്ത ക്ഷുദ്രവെയർ (ആക്രമണത്തിന്റെ സൂചനകൾ അവശേഷിപ്പിക്കാത്ത ഒരു ഹാക്കിംഗ് പ്രോഗ്രാം).

ഞങ്ങളുടെ കാര്യത്തിൽ, ആക്രമണകാരി ഒരു പവർഷെൽ സ്ക്രിപ്റ്റ് ഉപയോഗിച്ച് നെറ്റ്‌വർക്ക് നിരീക്ഷണം നടത്താൻ തുടങ്ങുന്നു, നെറ്റ്‌വർക്ക് ഐപി അഡ്രസ് സ്‌പെയ്‌സിൽ തുടർച്ചയായി ആവർത്തിക്കുന്നു, തന്നിരിക്കുന്ന ഐപി ഒരു ഹോസ്റ്റിന് പരിഹരിക്കുന്നുണ്ടോ എന്ന് നിർണ്ണയിക്കാൻ ശ്രമിക്കുന്നു, അങ്ങനെയാണെങ്കിൽ, ഈ ഹോസ്റ്റിന്റെ നെറ്റ്‌വർക്ക് നാമം എന്താണ്.
ഈ ടാസ്ക് പൂർത്തിയാക്കാൻ നിരവധി മാർഗങ്ങളുണ്ട്, പക്ഷേ cmdlet ഉപയോഗിക്കുന്നു നേടുക-ADComputer ഒരു സോളിഡ് ഓപ്ഷനാണ്, കാരണം ഇത് ഓരോ നോഡിനെയും കുറിച്ചുള്ള സമ്പന്നമായ ഡാറ്റ നൽകുന്നു:

 import-module activedirectory Get-ADComputer -property * -filter { ipv4address -eq ‘10.10.10.10’}

വലിയ നെറ്റ്‌വർക്കുകളിലെ വേഗത ഒരു പ്രശ്നമാണെങ്കിൽ, ഒരു DNS കോൾബാക്ക് ഉപയോഗിക്കാം:

[System.Net.Dns]::GetHostEntry(‘10.10.10.10’).HostName

മിക്ക നെറ്റ്‌വർക്കുകളും സീറോ ട്രസ്റ്റ് സെക്യൂരിറ്റി മോഡൽ ഉപയോഗിക്കാത്തതിനാൽ, സംശയാസ്പദമായ പ്രവർത്തനങ്ങളുടെ ആന്തരിക ഡിഎൻഎസ് അഭ്യർത്ഥനകൾ നിരീക്ഷിക്കാത്തതിനാൽ, നെറ്റ്‌വർക്കിൽ ഹോസ്റ്റുകളെ ലിസ്റ്റുചെയ്യുന്ന ഈ രീതി വളരെ ജനപ്രിയമാണ്.

ഘട്ടം 2: ഒരു ലക്ഷ്യം തിരഞ്ഞെടുക്കുക

ആക്രമണം തുടരാൻ ഉപയോഗിക്കാവുന്ന സെർവറിന്റെയും വർക്ക്സ്റ്റേഷൻ ഹോസ്റ്റ് നെയിമുകളുടെയും ഒരു ലിസ്റ്റ് നേടുക എന്നതാണ് ഈ ഘട്ടത്തിന്റെ അന്തിമഫലം.

പേരിൽ നിന്ന്, 'HUB-Filer' സെർവർ ഒരു യോഗ്യമായ ടാർഗെറ്റ് പോലെ തോന്നുന്നു കാലക്രമേണ, ഫയൽ സെർവറുകൾ, ഒരു ചട്ടം പോലെ, ധാരാളം നെറ്റ്‌വർക്ക് ഫോൾഡറുകൾ ശേഖരിക്കുകയും അവയിലേക്കുള്ള അമിതമായ ആക്‌സസ് ധാരാളം ആളുകൾ ശേഖരിക്കുകയും ചെയ്യുന്നു.

വിൻഡോസ് എക്സ്പ്ലോറർ ഉപയോഗിച്ച് ബ്രൗസുചെയ്യുന്നത് ഒരു തുറന്ന പങ്കിട്ട ഫോൾഡറിന്റെ സാന്നിധ്യം കണ്ടെത്താൻ ഞങ്ങളെ അനുവദിക്കുന്നു, എന്നാൽ ഞങ്ങളുടെ നിലവിലെ അക്കൗണ്ടിലേക്ക് അത് ആക്‌സസ് ചെയ്യാൻ കഴിയില്ല (ഒരുപക്ഷേ ഞങ്ങൾക്ക് ലിസ്റ്റിംഗ് അവകാശങ്ങൾ മാത്രമേയുള്ളൂ).

ഘട്ടം 3: ACL-കൾ പഠിക്കുക

ഇപ്പോൾ, ഞങ്ങളുടെ HUB-FILER ഹോസ്റ്റിലും ടാർഗെറ്റ് ഷെയറിലും, ACL ലഭിക്കുന്നതിന് നമുക്ക് ഒരു PowerShell സ്ക്രിപ്റ്റ് പ്രവർത്തിപ്പിക്കാം. ഞങ്ങൾക്ക് ഇത് ലോക്കൽ മെഷീനിൽ നിന്ന് ചെയ്യാൻ കഴിയും, കാരണം ഞങ്ങൾക്ക് ഇതിനകം പ്രാദേശിക അഡ്മിനിസ്ട്രേറ്റർ അവകാശങ്ങളുണ്ട്:

(get-acl hub-filershare).access | ft IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags –auto

നിർവ്വഹണ ഫലം:

അതിൽ നിന്ന്, ഡൊമെയ്ൻ ഉപയോക്താക്കളുടെ ഗ്രൂപ്പിന് ലിസ്റ്റിംഗിലേക്ക് മാത്രമേ ആക്സസ് ഉള്ളൂ, എന്നാൽ ഹെൽപ്പ്ഡെസ്ക് ഗ്രൂപ്പിന് മാറ്റാനുള്ള അവകാശവും ഉണ്ട്.

ഘട്ടം 4: അക്കൗണ്ട് ഐഡന്റിഫിക്കേഷൻ

പ്രവർത്തിക്കുന്ന ADGroupMember നേടുക, ഈ ഗ്രൂപ്പിലെ എല്ലാ അംഗങ്ങളും ഞങ്ങൾക്ക് ലഭിക്കും:

Get-ADGroupMember -identity Helpdesk

ഈ ലിസ്റ്റിൽ ഞങ്ങൾ ഇതിനകം തിരിച്ചറിഞ്ഞതും ഇതിനകം ആക്സസ് ചെയ്തതുമായ ഒരു കമ്പ്യൂട്ടർ അക്കൗണ്ട് കാണുന്നു:

ഘട്ടം 5: ഒരു കമ്പ്യൂട്ടർ അക്കൗണ്ടായി പ്രവർത്തിക്കാൻ PSExec ഉപയോഗിക്കുക

psexec Microsoft Sysinternals-ൽ നിന്ന്, SYSTEM@HUB-SHAREPOINT സിസ്റ്റം അക്കൗണ്ടിന്റെ പശ്ചാത്തലത്തിൽ കമാൻഡുകൾ എക്സിക്യൂട്ട് ചെയ്യാൻ നിങ്ങളെ അനുവദിക്കുന്നു, അത് ഹെൽപ്പ്ഡെസ്ക് ടാർഗെറ്റ് ഗ്രൂപ്പിലെ അംഗമാണെന്ന് ഞങ്ങൾക്കറിയാം. അതായത്, നമ്മൾ ചെയ്യേണ്ടത്:

PsExec.exe -s -i cmd.exe

ശരി, നിങ്ങൾ HUB-SHAREPOINT കമ്പ്യൂട്ടർ അക്കൗണ്ടിന്റെ പശ്ചാത്തലത്തിൽ പ്രവർത്തിക്കുന്നതിനാൽ HUB-FILERshareHR എന്ന ടാർഗെറ്റ് ഫോൾഡറിലേക്ക് നിങ്ങൾക്ക് പൂർണ്ണ ആക്‌സസ് ഉണ്ട്. ഈ ആക്‌സസ് ഉപയോഗിച്ച്, ഡാറ്റ ഒരു പോർട്ടബിൾ സ്റ്റോറേജ് ഉപകരണത്തിലേക്ക് പകർത്താനോ അല്ലെങ്കിൽ നെറ്റ്‌വർക്കിലൂടെ വീണ്ടെടുക്കാനും കൈമാറാനും കഴിയും.

ഘട്ടം 6: ഈ ആക്രമണം കണ്ടെത്തൽ

ഈ പ്രത്യേക അക്കൗണ്ട് പ്രിവിലേജ് ട്യൂണിംഗ് അപകടസാധ്യത (ഉപയോക്തൃ അക്കൗണ്ടുകൾക്കോ ​​സേവന അക്കൗണ്ടുകൾക്കോ ​​പകരം നെറ്റ്‌വർക്ക് ഷെയറുകൾ ആക്‌സസ് ചെയ്യുന്ന കമ്പ്യൂട്ടർ അക്കൗണ്ടുകൾ) കണ്ടെത്താനാകും. എന്നിരുന്നാലും, ശരിയായ ഉപകരണങ്ങൾ ഇല്ലാതെ, ഇത് ചെയ്യാൻ വളരെ ബുദ്ധിമുട്ടാണ്.

ഈ വിഭാഗത്തിലുള്ള ആക്രമണങ്ങൾ കണ്ടെത്തുന്നതിനും തടയുന്നതിനും, നമുക്ക് ഉപയോഗിക്കാം ഡാറ്റ അഡ്വാന്റേജ് കമ്പ്യൂട്ടർ അക്കൗണ്ടുകളുള്ള ഗ്രൂപ്പുകളെ തിരിച്ചറിയുന്നതിനും തുടർന്ന് അവയിലേക്കുള്ള പ്രവേശനം നിഷേധിക്കുന്നതിനും. ഡാറ്റ അലേർട്ട് കൂടുതൽ മുന്നോട്ട് പോകുകയും ഇത്തരത്തിലുള്ള സാഹചര്യത്തിന് പ്രത്യേകമായി ഒരു അറിയിപ്പ് സൃഷ്ടിക്കാൻ നിങ്ങളെ അനുവദിക്കുകയും ചെയ്യുന്നു.

താഴെയുള്ള സ്‌ക്രീൻഷോട്ട് ഒരു ഇഷ്‌ടാനുസൃത അറിയിപ്പ് കാണിക്കുന്നു, അത് ഒരു കമ്പ്യൂട്ടർ അക്കൗണ്ട് നിരീക്ഷിക്കപ്പെടുന്ന സെർവറിൽ ഡാറ്റ ആക്‌സസ് ചെയ്യുമ്പോഴെല്ലാം അത് ഫയർ ചെയ്യും.

PowerShell ഉപയോഗിച്ചുള്ള അടുത്ത ഘട്ടങ്ങൾ

കൂടുതൽ അറിയണോ? പൂർണ്ണമായി സൗജന്യ ആക്‌സസിന് "ബ്ലോഗ്" അൺലോക്ക് കോഡ് ഉപയോഗിക്കുക പവർഷെൽ, ആക്ടീവ് ഡയറക്‌ടറി ബേസിക്‌സ് വീഡിയോ കോഴ്‌സ്.

അവലംബം: www.habr.com