L-eskalazzjoni tal-privileġġ hija l-użu tad-drittijiet tal-kont kurrenti ta' attakkant biex jikseb livell addizzjonali, ġeneralment ogħla, ta' aċċess għas-sistema. Filwaqt li l-eskalazzjoni tal-privileġġ tista 'tkun ir-riżultat ta' sfruttamenti zero-day, hackers kaptan li jniedu attakk immirat, jew malware moħbi b'mod għaqli, ħafna drabi sseħħ minħabba konfigurazzjoni ħażina tal-kompjuter jew tal-kont. Waqt li jiżviluppaw aktar l-attakk, l-attakkanti jisfruttaw għadd ta 'vulnerabbiltajiet individwali, li flimkien jistgħu jwasslu għal tnixxija katastrofika ta' data.
Għaliex l-utenti m'għandhomx ikollhom drittijiet ta' amministratur lokali?
Jekk inti professjonist tas-sigurtà, jista 'jidher ovvju li l-utenti m'għandux ikollhom drittijiet ta' amministratur lokali, peress li dan:
- Jagħmel il-kontijiet tagħhom aktar vulnerabbli għal diversi attakki
- Jagħmel dawn l-istess attakki ħafna aktar serji
Sfortunatament, għal ħafna organizzazzjonijiet din għadha kwistjoni kontroversjali ħafna u kultant tkun akkumpanjata minn diskussjonijiet jaħarqu (ara, pereżempju, ). Mingħajr ma nidħlu fid-dettalji ta 'din id-diskussjoni, nemmnu li l-attakkant kiseb drittijiet ta' amministratur lokali fuq is-sistema taħt investigazzjoni, jew permezz ta 'exploit jew minħabba li l-magni ma kinux assigurati kif suppost.
Pass 1: Reverse Riżoluzzjoni tal-Ismijiet tad-DNS billi tuża PowerShell
B'mod awtomatiku, PowerShell huwa installat fuq bosta stazzjonijiet tax-xogħol lokali u fuq il-biċċa l-kbira tas-servers tal-Windows. U filwaqt li mhuwiex mingħajr esaġerazzjoni li hija meqjusa bħala għodda ta 'awtomazzjoni u kontroll oerhört utli, hija ugwalment kapaċi li tinbidel fi kważi inviżibbli. (programm ta' hacking li ma jħalli l-ebda traċċi ta' attakk).
Fil-każ tagħna, l-attakkant jibda jwettaq tkixxif tan-netwerk bl-użu ta 'skript PowerShell, sekwenzjali itering permezz tal-ispazju tal-indirizz IP tan-netwerk, jipprova jiddetermina jekk IP partikolari jirrisolvix għal host, u jekk iva, x'inhu l-isem tan-netwerk ta' dak il-host.
Hemm ħafna modi kif twettaq dan il-kompitu, iżda bl-użu tas-cmdlet ADComputer hija għażla affidabbli minħabba li tirritorna sett tassew għani ta 'dejta dwar kull nodu:
import-module activedirectory Get-ADComputer -property * -filter { ipv4address -eq ‘10.10.10.10’}Jekk il-veloċità fuq netwerks kbar hija kwistjoni, tista' tintuża sejħa tas-sistema DNS inversa:
[System.Net.Dns]::GetHostEntry(‘10.10.10.10’).HostName
Dan il-metodu ta’ enumerazzjoni ta’ hosts fuq netwerk huwa popolari ħafna minħabba li l-biċċa l-kbira tan-netwerks ma jużawx mudell ta’ sigurtà ta’ zero trust u ma jimmonitorjawx il-mistoqsijiet interni tad-DNS għal fqigħ ta’ attività suspettużi.
Pass 2: Agħżel mira
Ir-riżultat aħħari ta 'dan il-pass huwa li tinkiseb lista ta' ismijiet ta 'host servers u stazzjonijiet tax-xogħol li jistgħu jintużaw biex ikomplu l-attakk.
Ibbażat fuq ismu, is-server 'HUB-FILER' jidher qisu mira denja għax... Maż-żmien, is-servers tal-fajls għandhom it-tendenza li jakkumulaw numru kbir ta 'folders tan-netwerk u aċċess eċċessiv għalihom minn wisq nies.
Il-browsing bil-Windows Explorer jippermettilna niddeterminaw li hemm folder kondiviż miftuħ, iżda l-kont kurrenti tagħna ma jistax jaċċessah (probabbilment għandna biss id-drittijiet tal-elenkar).
Pass 3: Titgħallem l-ACL
Issa fuq l-host HUB-FILER tagħna u s-sehem fil-mira, nistgħu nħaddmu l-iskrittura PowerShell biex niksbu l-ACL. Nistgħu nagħmlu dan mill-magna lokali, peress li diġà għandna drittijiet ta 'amministratur lokali:
(get-acl hub-filershare).access | ft IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags –autoRiżultat tal-eżekuzzjoni:
Minnha naraw li l-grupp Utenti tad-Dominju għandu aċċess biss għall-elenkar, iżda l-grupp Helpdesk għandu wkoll drittijiet ta 'editjar.
Pass 4: Identifikazzjoni tal-Kont
Billi taħdem , nistgħu nġibu l-membri kollha ta 'dan il-grupp:
Get-ADGroupMember -identity Helpdesk
F'din il-lista naraw il-kont tal-kompjuter li diġà identifikajna u diġà aċċessajna:
Pass 5: Uża PSExec biex taħdem taħt kont tal-kompjuter
minn Microsoft Sysinternals jippermettilek tesegwixxi kmandi fil-kuntest tal-kont tas-sistema SYSTEM@HUB-SHAREPOINT, li nafu li huwa membru tal-grupp fil-mira tal-Helpdesk. Jiġifieri, irridu nagħmlu biss:
PsExec.exe -s -i cmd.exeUkoll, allura inti għandek aċċess sħiħ għall-fowlder fil-mira HUB-FILERshareHR, peress li qed taħdem fil-kuntest tal-kont tal-kompjuter HUB-SHAREPOINT. U b'dan l-aċċess, id-dejta tista 'tiġi kkupjata f'apparat ta' ħażna portabbli jew inkella rkuprata u trasferita fuq in-netwerk.
Pass 6: Issib dan l-attakk
Din il-vulnerabbiltà tal-konfigurazzjoni tal-permessi tal-kont partikolari (kontijiet tal-kompjuter li jaċċessaw ishma tan-netwerk minflok kontijiet tal-utent jew kontijiet tas-servizz) tista 'tiġi skoperta. Madankollu, mingħajr l-għodda t-tajba, huwa diffiċli ħafna li tagħmel dan.
Biex niskopru u tipprevjeni din il-kategorija ta 'attakki, nistgħu nużaw biex tidentifika gruppi b'kontijiet tal-kompjuter fihom, u mbagħad tiċħad l-aċċess għalihom. imur lil hinn u jippermettilek toħloq notifika speċifikament għal dan it-tip ta’ xenarju.
Il-screenshot hawn taħt turi notifika tad-dwana li se tiġi attivata kull meta kont tal-kompjuter jaċċessa dejta fuq is-server immonitorjat.
Il-passi li jmiss bl-użu ta’ PowerShell
Trid tkun taf aktar? Uża l-kodiċi nisfruttaw "blog" għal aċċess b'xejn għall-sħiħ .
Sors: www.habr.com