Peningkatan keistimewaan ialah penggunaan hak akaun semasa penyerang untuk mendapatkan tahap akses tambahan, biasanya lebih tinggi, kepada sistem. Walaupun peningkatan keistimewaan boleh disebabkan oleh eksploitasi sifar hari, penggodam induk melancarkan serangan yang disasarkan, atau perisian hasad yang bijak menyamar, ia paling kerap berlaku disebabkan oleh salah konfigurasi komputer atau akaun. Membangunkan serangan selanjutnya, penyerang mengeksploitasi beberapa kelemahan individu, yang bersama-sama boleh membawa kepada kebocoran data yang dahsyat.
Mengapakah pengguna tidak sepatutnya mempunyai hak pentadbir tempatan?
Jika anda seorang profesional keselamatan, nampaknya jelas bahawa pengguna tidak sepatutnya mempunyai hak pentadbir tempatan, kerana ini:
- Menjadikan akaun mereka lebih terdedah kepada pelbagai serangan
- Menjadikan serangan yang sama ini lebih serius
Malangnya, bagi kebanyakan organisasi ini masih menjadi isu yang sangat kontroversi dan kadangkala disertai dengan perbincangan hangat (lihat, sebagai contoh, ). Tanpa pergi ke butiran perbincangan ini, kami percaya bahawa penyerang mendapat hak pentadbir tempatan pada sistem yang sedang disiasat, sama ada melalui eksploitasi atau kerana mesin tidak dilindungi dengan betul.
Langkah 1: Balikkan Resolusi Nama DNS Menggunakan PowerShell
Secara lalai, PowerShell dipasang pada banyak stesen kerja tempatan dan pada kebanyakan pelayan Windows. Dan walaupun tidak keterlaluan bahawa ia dianggap sebagai alat automasi dan kawalan yang sangat berguna, ia juga mampu bertukar menjadi hampir tidak kelihatan. (program penggodaman yang tidak meninggalkan kesan serangan).
Dalam kes kami, penyerang mula melakukan peninjauan rangkaian menggunakan skrip PowerShell, berulang secara berurutan melalui ruang alamat IP rangkaian, cuba untuk menentukan sama ada IP tertentu diselesaikan kepada hos, dan jika ya, apakah nama rangkaian hos itu.
Terdapat banyak cara untuk menyelesaikan tugas ini, tetapi menggunakan cmdlet ADComputer ialah pilihan yang boleh dipercayai kerana ia mengembalikan set data yang sangat kaya tentang setiap nod:
import-module activedirectory Get-ADComputer -property * -filter { ipv4address -eq β10.10.10.10β}Jika kelajuan pada rangkaian besar menjadi isu, panggilan sistem DNS terbalik boleh digunakan:
[System.Net.Dns]::GetHostEntry(β10.10.10.10β).HostName
Kaedah menyenaraikan hos pada rangkaian ini sangat popular kerana kebanyakan rangkaian tidak menggunakan model keselamatan amanah sifar dan tidak memantau pertanyaan DNS dalaman untuk letusan aktiviti yang mencurigakan.
Langkah 2: Pilih sasaran
Hasil akhir langkah ini adalah untuk mendapatkan senarai nama hos pelayan dan stesen kerja yang boleh digunakan untuk meneruskan serangan.
Berdasarkan namanya, pelayan 'HUB-FILER' kelihatan seperti sasaran yang layak kerana... Dari masa ke masa, pelayan fail cenderung untuk mengumpul sejumlah besar folder rangkaian dan akses berlebihan kepada mereka oleh terlalu ramai orang.
Menyemak imbas dengan Windows Explorer membolehkan kami menentukan bahawa terdapat folder kongsi terbuka, tetapi akaun semasa kami tidak dapat mengaksesnya (kami mungkin hanya mempunyai hak penyenaraian).
Langkah 3: Mempelajari ACL
Kini pada hos HUB-FILER dan bahagian sasaran kami, kami boleh menjalankan skrip PowerShell untuk mendapatkan ACL. Kita boleh melakukan ini dari mesin tempatan, kerana kita sudah mempunyai hak pentadbir tempatan:
(get-acl hub-filershare).access | ft IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags βautoKeputusan pelaksanaan:
Daripadanya, kami melihat bahawa kumpulan Pengguna Domain hanya mempunyai akses kepada penyenaraian, tetapi kumpulan Meja Bantuan juga mempunyai hak menyunting.
Langkah 4: Pengenalan Akaun
Dengan berlari , kita boleh mendapatkan semua ahli kumpulan ini:
Get-ADGroupMember -identity Helpdesk
Dalam senarai ini kita melihat akaun komputer yang telah kita kenal pasti dan telah pun diakses:
Langkah 5: Gunakan PSExec untuk bekerja di bawah akaun komputer
daripada Microsoft Sysinternals membolehkan anda melaksanakan arahan dalam konteks akaun sistem SYSTEM@HUB-SHAREPOINT, yang kami tahu ialah ahli kumpulan sasaran Helpdesk. Iaitu, kita hanya perlu lakukan:
PsExec.exe -s -i cmd.exeOleh itu, anda mempunyai akses penuh kepada folder sasaran HUB-FILERshareHR, kerana anda bekerja dalam konteks akaun komputer HUB-SHAREPOINT. Dan dengan akses ini, data boleh disalin ke peranti storan mudah alih atau sebaliknya diambil dan dipindahkan melalui rangkaian.
Langkah 6: Mengesan serangan ini
Kerentanan konfigurasi kebenaran akaun tertentu ini (akaun komputer yang mengakses perkongsian rangkaian dan bukannya akaun pengguna atau akaun perkhidmatan) boleh ditemui. Walau bagaimanapun, tanpa alat yang betul, ini sangat sukar dilakukan.
Untuk mengesan dan mencegah kategori serangan ini, kita boleh menggunakan untuk mengenal pasti kumpulan yang mempunyai akaun komputer di dalamnya, dan kemudian menafikan akses kepada mereka. pergi lebih jauh dan membolehkan anda membuat pemberitahuan khusus untuk jenis senario ini.
Tangkapan skrin di bawah menunjukkan pemberitahuan tersuai yang akan dicetuskan apabila akaun komputer mengakses data pada pelayan yang dipantau.
Langkah seterusnya menggunakan PowerShell
Nak tahu lebih lanjut? Gunakan kod buka kunci "blog" untuk akses percuma sepenuhnya .
Sumber: www.habr.com