അധികമായി, സാധാരണയായി സിസ്റ്റത്തിലേക്കുള്ള ആക്സസ്സിന്റെ ഉയർന്ന തലത്തിലുള്ള ഒരു അക്കൗണ്ടിന്റെ നിലവിലെ അവകാശങ്ങൾ ആക്രമിക്കുന്നയാൾ ഉപയോഗിക്കുന്നതാണ് പ്രിവിലേജ് വർദ്ധനവ്. പ്രത്യേകാവകാശ വർദ്ധനവ് സീറോ-ഡേ കേടുപാടുകൾ മുതലെടുക്കുന്നതിന്റെ ഫലമായിരിക്കാം, അല്ലെങ്കിൽ ടാർഗെറ്റുചെയ്ത ആക്രമണം നടത്തുന്ന ഫസ്റ്റ് ക്ലാസ് ഹാക്കർമാരുടെ പ്രവർത്തനത്തിന്റെ ഫലമായിരിക്കാം, അല്ലെങ്കിൽ സമർത്ഥമായി വേഷംമാറിയ ക്ഷുദ്രവെയറുകൾ, ഇത് കമ്പ്യൂട്ടറിന്റെയോ അക്കൗണ്ടിന്റെയോ തെറ്റായ കോൺഫിഗറേഷൻ മൂലമാണ്. ആക്രമണം കൂടുതൽ വികസിപ്പിച്ചുകൊണ്ട്, ആക്രമണകാരികൾ നിരവധി വ്യക്തിഗത കേടുപാടുകൾ ഉപയോഗിക്കുന്നു, അത് ഒരുമിച്ച് ഒരു ദുരന്തകരമായ ഡാറ്റ ചോർച്ചയിലേക്ക് നയിച്ചേക്കാം.
എന്തുകൊണ്ട് ഉപയോക്താക്കൾക്ക് പ്രാദേശിക അഡ്മിനിസ്ട്രേറ്റർ അവകാശങ്ങൾ പാടില്ല?
നിങ്ങളൊരു സെക്യൂരിറ്റി പ്രൊഫഷണലാണെങ്കിൽ, ഉപയോക്താക്കൾക്ക് പ്രാദേശിക അഡ്മിനിസ്ട്രേറ്റർ അവകാശങ്ങൾ ഉണ്ടാകരുതെന്ന് വ്യക്തമായി തോന്നിയേക്കാം:
- വിവിധ ആക്രമണങ്ങൾക്ക് അവരുടെ അക്കൗണ്ടുകളെ കൂടുതൽ ദുർബലമാക്കുന്നു
- അതേ ആക്രമണങ്ങളെ കൂടുതൽ രൂക്ഷമാക്കുന്നു
നിർഭാഗ്യവശാൽ, പല ഓർഗനൈസേഷനുകൾക്കും ഇത് ഇപ്പോഴും വളരെ വിവാദപരമായ ഒരു പ്രശ്നമാണ്, ചിലപ്പോൾ ചൂടേറിയ ചർച്ചകളോടൊപ്പമുണ്ട് (ഉദാഹരണത്തിന്, കാണുക,
ഘട്ടം 1 PowerShell ഉപയോഗിച്ച് DNS റെസല്യൂഷൻ റിവേഴ്സ് ചെയ്യുക
സ്ഥിരസ്ഥിതിയായി, പല പ്രാദേശിക വർക്ക്സ്റ്റേഷനുകളിലും മിക്ക വിൻഡോസ് സെർവറുകളിലും PowerShell ഇൻസ്റ്റാൾ ചെയ്തിട്ടുണ്ട്. അത് അവിശ്വസനീയമാംവിധം ഉപയോഗപ്രദമായ ഒരു ഓട്ടോമേഷനും നിയന്ത്രണ ഉപകരണവും ആയി കണക്കാക്കപ്പെടുന്നു എന്നതിൽ അതിശയോക്തിയില്ലെങ്കിലും, അത് സ്വയം അദൃശ്യമായി മാറാൻ ഒരുപോലെ പ്രാപ്തമാണ്.
ഞങ്ങളുടെ കാര്യത്തിൽ, ആക്രമണകാരി ഒരു പവർഷെൽ സ്ക്രിപ്റ്റ് ഉപയോഗിച്ച് നെറ്റ്വർക്ക് നിരീക്ഷണം നടത്താൻ തുടങ്ങുന്നു, നെറ്റ്വർക്ക് ഐപി അഡ്രസ് സ്പെയ്സിൽ തുടർച്ചയായി ആവർത്തിക്കുന്നു, തന്നിരിക്കുന്ന ഐപി ഒരു ഹോസ്റ്റിന് പരിഹരിക്കുന്നുണ്ടോ എന്ന് നിർണ്ണയിക്കാൻ ശ്രമിക്കുന്നു, അങ്ങനെയാണെങ്കിൽ, ഈ ഹോസ്റ്റിന്റെ നെറ്റ്വർക്ക് നാമം എന്താണ്.
ഈ ടാസ്ക് പൂർത്തിയാക്കാൻ നിരവധി മാർഗങ്ങളുണ്ട്, പക്ഷേ cmdlet ഉപയോഗിക്കുന്നു
import-module activedirectory Get-ADComputer -property * -filter { ipv4address -eq ‘10.10.10.10’}
വലിയ നെറ്റ്വർക്കുകളിലെ വേഗത ഒരു പ്രശ്നമാണെങ്കിൽ, ഒരു DNS കോൾബാക്ക് ഉപയോഗിക്കാം:
[System.Net.Dns]::GetHostEntry(‘10.10.10.10’).HostName
മിക്ക നെറ്റ്വർക്കുകളും സീറോ ട്രസ്റ്റ് സെക്യൂരിറ്റി മോഡൽ ഉപയോഗിക്കാത്തതിനാൽ, സംശയാസ്പദമായ പ്രവർത്തനങ്ങളുടെ ആന്തരിക ഡിഎൻഎസ് അഭ്യർത്ഥനകൾ നിരീക്ഷിക്കാത്തതിനാൽ, നെറ്റ്വർക്കിൽ ഹോസ്റ്റുകളെ ലിസ്റ്റുചെയ്യുന്ന ഈ രീതി വളരെ ജനപ്രിയമാണ്.
ഘട്ടം 2: ഒരു ലക്ഷ്യം തിരഞ്ഞെടുക്കുക
ആക്രമണം തുടരാൻ ഉപയോഗിക്കാവുന്ന സെർവറിന്റെയും വർക്ക്സ്റ്റേഷൻ ഹോസ്റ്റ് നെയിമുകളുടെയും ഒരു ലിസ്റ്റ് നേടുക എന്നതാണ് ഈ ഘട്ടത്തിന്റെ അന്തിമഫലം.
പേരിൽ നിന്ന്, 'HUB-Filer' സെർവർ ഒരു യോഗ്യമായ ടാർഗെറ്റ് പോലെ തോന്നുന്നു കാലക്രമേണ, ഫയൽ സെർവറുകൾ, ഒരു ചട്ടം പോലെ, ധാരാളം നെറ്റ്വർക്ക് ഫോൾഡറുകൾ ശേഖരിക്കുകയും അവയിലേക്കുള്ള അമിതമായ ആക്സസ് ധാരാളം ആളുകൾ ശേഖരിക്കുകയും ചെയ്യുന്നു.
വിൻഡോസ് എക്സ്പ്ലോറർ ഉപയോഗിച്ച് ബ്രൗസുചെയ്യുന്നത് ഒരു തുറന്ന പങ്കിട്ട ഫോൾഡറിന്റെ സാന്നിധ്യം കണ്ടെത്താൻ ഞങ്ങളെ അനുവദിക്കുന്നു, എന്നാൽ ഞങ്ങളുടെ നിലവിലെ അക്കൗണ്ടിലേക്ക് അത് ആക്സസ് ചെയ്യാൻ കഴിയില്ല (ഒരുപക്ഷേ ഞങ്ങൾക്ക് ലിസ്റ്റിംഗ് അവകാശങ്ങൾ മാത്രമേയുള്ളൂ).
ഘട്ടം 3: ACL-കൾ പഠിക്കുക
ഇപ്പോൾ, ഞങ്ങളുടെ HUB-FILER ഹോസ്റ്റിലും ടാർഗെറ്റ് ഷെയറിലും, ACL ലഭിക്കുന്നതിന് നമുക്ക് ഒരു PowerShell സ്ക്രിപ്റ്റ് പ്രവർത്തിപ്പിക്കാം. ഞങ്ങൾക്ക് ഇത് ലോക്കൽ മെഷീനിൽ നിന്ന് ചെയ്യാൻ കഴിയും, കാരണം ഞങ്ങൾക്ക് ഇതിനകം പ്രാദേശിക അഡ്മിനിസ്ട്രേറ്റർ അവകാശങ്ങളുണ്ട്:
(get-acl hub-filershare).access | ft IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags –auto
നിർവ്വഹണ ഫലം:
അതിൽ നിന്ന്, ഡൊമെയ്ൻ ഉപയോക്താക്കളുടെ ഗ്രൂപ്പിന് ലിസ്റ്റിംഗിലേക്ക് മാത്രമേ ആക്സസ് ഉള്ളൂ, എന്നാൽ ഹെൽപ്പ്ഡെസ്ക് ഗ്രൂപ്പിന് മാറ്റാനുള്ള അവകാശവും ഉണ്ട്.
ഘട്ടം 4: അക്കൗണ്ട് ഐഡന്റിഫിക്കേഷൻ
പ്രവർത്തിക്കുന്ന
Get-ADGroupMember -identity Helpdesk
ഈ ലിസ്റ്റിൽ ഞങ്ങൾ ഇതിനകം തിരിച്ചറിഞ്ഞതും ഇതിനകം ആക്സസ് ചെയ്തതുമായ ഒരു കമ്പ്യൂട്ടർ അക്കൗണ്ട് കാണുന്നു:
ഘട്ടം 5: ഒരു കമ്പ്യൂട്ടർ അക്കൗണ്ടായി പ്രവർത്തിക്കാൻ PSExec ഉപയോഗിക്കുക
PsExec.exe -s -i cmd.exe
ശരി, നിങ്ങൾ HUB-SHAREPOINT കമ്പ്യൂട്ടർ അക്കൗണ്ടിന്റെ പശ്ചാത്തലത്തിൽ പ്രവർത്തിക്കുന്നതിനാൽ HUB-FILERshareHR എന്ന ടാർഗെറ്റ് ഫോൾഡറിലേക്ക് നിങ്ങൾക്ക് പൂർണ്ണ ആക്സസ് ഉണ്ട്. ഈ ആക്സസ് ഉപയോഗിച്ച്, ഡാറ്റ ഒരു പോർട്ടബിൾ സ്റ്റോറേജ് ഉപകരണത്തിലേക്ക് പകർത്താനോ അല്ലെങ്കിൽ നെറ്റ്വർക്കിലൂടെ വീണ്ടെടുക്കാനും കൈമാറാനും കഴിയും.
ഘട്ടം 6: ഈ ആക്രമണം കണ്ടെത്തൽ
ഈ പ്രത്യേക അക്കൗണ്ട് പ്രിവിലേജ് ട്യൂണിംഗ് അപകടസാധ്യത (ഉപയോക്തൃ അക്കൗണ്ടുകൾക്കോ സേവന അക്കൗണ്ടുകൾക്കോ പകരം നെറ്റ്വർക്ക് ഷെയറുകൾ ആക്സസ് ചെയ്യുന്ന കമ്പ്യൂട്ടർ അക്കൗണ്ടുകൾ) കണ്ടെത്താനാകും. എന്നിരുന്നാലും, ശരിയായ ഉപകരണങ്ങൾ ഇല്ലാതെ, ഇത് ചെയ്യാൻ വളരെ ബുദ്ധിമുട്ടാണ്.
ഈ വിഭാഗത്തിലുള്ള ആക്രമണങ്ങൾ കണ്ടെത്തുന്നതിനും തടയുന്നതിനും, നമുക്ക് ഉപയോഗിക്കാം
താഴെയുള്ള സ്ക്രീൻഷോട്ട് ഒരു ഇഷ്ടാനുസൃത അറിയിപ്പ് കാണിക്കുന്നു, അത് ഒരു കമ്പ്യൂട്ടർ അക്കൗണ്ട് നിരീക്ഷിക്കപ്പെടുന്ന സെർവറിൽ ഡാറ്റ ആക്സസ് ചെയ്യുമ്പോഴെല്ലാം അത് ഫയർ ചെയ്യും.
PowerShell ഉപയോഗിച്ചുള്ള അടുത്ത ഘട്ടങ്ങൾ
കൂടുതൽ അറിയണോ? പൂർണ്ണമായി സൗജന്യ ആക്സസിന് "ബ്ലോഗ്" അൺലോക്ക് കോഡ് ഉപയോഗിക്കുക
അവലംബം: www.habr.com