Local Accounts ၏အခွင့်ထူးကိုမြှင့်တင်ရန် PowerShell ကိုအသုံးပြုခြင်း။

အထူးအခွင့်အရေးတိုးမြင့်ခြင်းသည် အကောင့်တစ်ခု၏ လက်ရှိအခွင့်အရေးများကို တိုက်ခိုက်သူမှ အသုံးပြုခြင်းဖြစ်ပြီး များသောအားဖြင့် စနစ်သို့ဝင်ရောက်ခွင့်ပိုမိုမြင့်မားသောအဆင့် ထပ်မံရရှိရန်ဖြစ်သည်။ အထူးအခွင့်အရေး တိုးလာခြင်းသည် သုည-ရက်ပြတ် အားနည်းချက်များကို အသုံးချခြင်း သို့မဟုတ် ပစ်မှတ်ထားသော တိုက်ခိုက်မှုကို လုပ်ဆောင်နေသည့် ပထမတန်းစား ဟက်ကာများ၏ အလုပ် သို့မဟုတ် လိမ္မာပါးနပ်စွာ ဖုံးကွယ်ထားသော Malware များ၏ ရလဒ်ဖြစ်နိုင်သော်လည်း ၎င်းမှာ ကွန်ပျူတာ သို့မဟုတ် အကောင့်၏ ပုံသွင်းမှု မှားယွင်းခြင်းကြောင့် ဖြစ်တတ်သည်။ တိုက်ခိုက်မှုကို ထပ်မံဖော်ဆောင်ရာတွင်၊ တိုက်ခိုက်သူများသည် တစ်ဦးချင်း အားနည်းချက်များစွာကို အသုံးပြုကာ ဒေတာပေါက်ကြားမှုကို ဆိုးရွားစွာ ဖြစ်ပေါ်စေနိုင်သည်။

သုံးစွဲသူများသည် ဒေသဆိုင်ရာ စီမံခန့်ခွဲပိုင်ခွင့်များ အဘယ်ကြောင့် မရှိသင့်သနည်း။

အကယ်၍ သင်သည် လုံခြုံရေးပညာရှင်တစ်ဦးဖြစ်ပါက၊ အသုံးပြုသူများသည် ဤကဲ့သို့ ဒေသဆိုင်ရာ စီမံခန့်ခွဲပိုင်ခွင့်များ မရှိသင့်သည်မှာ ထင်ရှားနေပေသည်-

• ၎င်းတို့၏ အကောင့်များကို အမျိုးမျိုးသော တိုက်ခိုက်မှုများကို ပိုမိုခံနိုင်ရည်ရှိစေသည်။
• အလားတူ တိုက်ခိုက်မှုများကို ပိုမိုပြင်းထန်စေသည်။

ကံမကောင်းစွာဖြင့်၊ အဖွဲ့အစည်းများစွာအတွက်၊ ဤသည်မှာ အလွန်အငြင်းပွားဖွယ်ပြဿနာတစ်ခုဖြစ်နေဆဲဖြစ်ပြီး တစ်ခါတစ်ရံတွင် အပြင်းအထန်ဆွေးနွေးမှုများဖြင့် လိုက်ပါသွားသည် (ဥပမာ၊ ကြည့်ပါ၊ ကျွန်ုပ်၏ ကြီးကြပ်ရေးမှူးက အသုံးပြုသူအားလုံးသည် ဒေသဆိုင်ရာ စီမံခန့်ခွဲသူများ ဖြစ်ရမည် ဟု ဆိုသည်။) ဤဆွေးနွေးမှု၏အသေးစိတ်အချက်အလက်များကို မလေ့လာဘဲ၊ တိုက်ခိုက်သူသည် exploit တစ်ခုမှတစ်ဆင့် သို့မဟုတ် စက်များကို ကောင်းစွာမကာကွယ်ထားသောကြောင့် စုံစမ်းဆဲစနစ်တွင် ဒေသဆိုင်ရာ စီမံခန့်ခွဲပိုင်ခွင့်များ ရရှိထားကြောင်း ကျွန်ုပ်တို့ယုံကြည်ပါသည်။

အဆင့် 1 Reverse DNS Resolution ကို PowerShell ဖြင့် ပြုလုပ်ပါ။

မူရင်းအားဖြင့် PowerShell ကို ဒေသတွင်း အလုပ်ရုံများစွာနှင့် Windows ဆာဗာအများစုတွင် ထည့်သွင်းထားသည်။ ၎င်းကို ချဲ့ကားခြင်းမရှိဘဲ ၎င်းသည် မယုံနိုင်လောက်အောင် အသုံးဝင်သော အလိုအလျောက်စနစ်နှင့် ထိန်းချုပ်မှုကိရိယာတစ်ခုဟု ယူဆထားသော်လည်း၊ ၎င်းသည် မမြင်နိုင်သောအနီးအနားအဖြစ် သူ့ကိုယ်သူ ပြောင်းလဲနိုင်သည် fileless malware (တိုက်ခိုက်မှုကို ခြေရာခံမထားခဲ့ဘဲ ဟက်ကာပရိုဂရမ်)။

ကျွန်ုပ်တို့၏အခြေအနေတွင်၊ တိုက်ခိုက်သူသည် PowerShell script ကိုအသုံးပြု၍ ကွန်ရက်ထောက်လှမ်းခြင်းကို စတင်လုပ်ဆောင်ပြီး ကွန်ရက် IP လိပ်စာနေရာကို ဆက်တိုက်ဖော်ပြခြင်း၊ ပေးထားသော IP သည် လက်ခံသူအား ဖြေရှင်းခြင်းရှိ၊
ဤတာဝန်ကို ပြီးမြောက်ရန် နည်းလမ်းများစွာရှိသော်လည်း cmdlet ကို အသုံးပြုပါ။ ရယူပါADComputer သည် node တစ်ခုစီ၏ အမှန်တကယ်ကြွယ်ဝသောဒေတာအစုကို ပြန်ပေးသောကြောင့် ခိုင်မာသောရွေးချယ်မှုတစ်ခုဖြစ်သည်-

 import-module activedirectory Get-ADComputer -property * -filter { ipv4address -eq ‘10.10.10.10’}

ကြီးမားသောကွန်ရက်များတွင် မြန်နှုန်းပြဿနာရှိပါက၊ DNS ပြန်လည်ခေါ်ဆိုမှုကို အသုံးပြုနိုင်သည်။

[System.Net.Dns]::GetHostEntry(‘10.10.10.10’).HostName

ကွန်ရက်တစ်ခုပေါ်ရှိ host များကို စာရင်းပြုစုခြင်းနည်းလမ်းသည် အလွန်ရေပန်းစားပါသည်။ ကွန်ရက်အများစုသည် zero-trust security model ကိုအသုံးမပြုဘဲ သံသယဖြစ်ဖွယ်ရာ ကွဲထွက်မှုများအတွက် internal DNS တောင်းဆိုမှုများကို စောင့်ကြည့်ခြင်းမရှိသောကြောင့်ဖြစ်သည်။

အဆင့် 2: ပစ်မှတ်ကိုရွေးချယ်ပါ။

ဤအဆင့်၏အဆုံးရလဒ်မှာ တိုက်ခိုက်မှုကိုဆက်လက်လုပ်ဆောင်ရန် အသုံးပြုနိုင်သည့် ဆာဗာနှင့် အလုပ်ရုံအသုံးပြုသူအမည်စာရင်းကို ရယူရန်ဖြစ်သည်။

နာမည်အရ 'HUB-FILER' ဆာဗာသည် ထိုက်တန်သော ပစ်မှတ်တစ်ခုလို ဖြစ်နေပုံရသည်။ အချိန်ကြာလာသည်နှင့်အမျှ၊ စည်းကမ်းအတိုင်း၊ ဖိုင်ဆာဗာများသည် ကွန်ရက်ဖိုင်တွဲများစွာကို စုပြုံနေပြီး လူများစွာက ၎င်းတို့ထံ အလွန်အကျွံဝင်ရောက်ခွင့်ရှိသည်။

Windows Explorer ဖြင့် ရှာဖွေခြင်းသည် ကျွန်ုပ်တို့အား ဖွင့်ထားသော မျှဝေထားသော ဖိုင်တွဲတစ်ခု ရှိနေခြင်းကို ထောက်လှမ်းနိုင်စေသော်လည်း ကျွန်ုပ်တို့၏ လက်ရှိအကောင့်သည် ၎င်းကို အသုံးပြု၍မရ (ဖြစ်နိုင်သည်မှာ ကျွန်ုပ်တို့တွင် စာရင်းပြုစုပိုင်ခွင့်များသာ ရှိသည်)။

အဆင့် 3- ACLs ကို လေ့လာပါ။

ယခု၊ ကျွန်ုပ်တို့၏ HUB-FILER host နှင့် ပစ်မှတ်မျှဝေမှုတွင် ACL ကိုရယူရန် PowerShell script ကို run နိုင်ပါသည်။ ကျွန်ုပ်တို့တွင် ဒေသန္တရ စီမံခန့်ခွဲပိုင်ခွင့်များ ရှိပြီးသားဖြစ်သောကြောင့် ၎င်းကို ဒေသန္တရစက်မှ ကျွန်ုပ်တို့ လုပ်ဆောင်နိုင်သည်-

(get-acl hub-filershare).access | ft IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags –auto

လုပ်ဆောင်မှုရလဒ်-

၎င်းမှနေ၍ Domain Users အဖွဲ့သည် စာရင်းသွင်းခြင်းသို့သာ ဝင်ရောက်ခွင့်ရှိသည်ကို ကျွန်ုပ်တို့တွေ့မြင်ရသော်လည်း Helpdesk အဖွဲ့တွင်လည်း ပြောင်းလဲပိုင်ခွင့်ရှိသည်။

အဆင့် 4- အကောင့်ခွဲခြားခြင်း

ပြေးသည်။ Get-ADGroupMemberဤအဖွဲ့၏ အဖွဲ့ဝင်အားလုံးကို ကျွန်ုပ်တို့ ရနိုင်သည်-

Get-ADGroupMember -identity Helpdesk

ဤစာရင်းတွင်ကျွန်ုပ်တို့သတ်မှတ်ထားပြီးဝင်ရောက်အသုံးပြုထားပြီးဖြစ်သောကွန်ပျူတာအကောင့်ကိုကျွန်ုပ်တို့တွေ့မြင်ရသည်-

အဆင့် 5: ကွန်ပျူတာအကောင့်တစ်ခုအဖြစ်လည်ပတ်ရန် PSExec ကိုသုံးပါ။

psexec Microsoft Sysinternals မှ SYSTEM@HUB-SHAREPOINT စနစ်အကောင့်၏ အခြေအနေတွင် သင့်အား ညွှန်ကြားချက်များကို Helpdesk ပစ်မှတ်အုပ်စု၏ အဖွဲ့ဝင်တစ်ဦးဖြစ်ကြောင်း ကျွန်ုပ်တို့သိထားသည်။ ဆိုလိုသည်မှာ၊ ကျွန်ုပ်တို့လုပ်ဆောင်ရန်သာ လိုအပ်သည်-

PsExec.exe -s -i cmd.exe

ကောင်းပြီ၊ ထို့နောက် သင်သည် HUB-SHAREPOINT ကွန်ပြူတာအကောင့်တွင် အလုပ်လုပ်နေသောကြောင့် ပစ်မှတ်ဖိုင်တွဲ HUB-FILERshareHR ကို အပြည့်အဝဝင်ရောက်ခွင့်ရှိသည်။ ဤဝင်ရောက်ခွင့်နှင့်အတူ၊ ဒေတာကို သယ်ဆောင်ရလွယ်ကူသော သိုလှောင်မှုကိရိယာသို့ ကူးယူနိုင်သည် သို့မဟုတ် အခြားနည်းဖြင့် ကွန်ရက်ပေါ်တွင် ပြန်လည်ရယူပြီး ထုတ်လွှင့်နိုင်သည်။

အဆင့် 6- ဤတိုက်ခိုက်မှုကို ရှာဖွေတွေ့ရှိခြင်း။

ဤအထူးအကောင့် အခွင့်ထူးခံ ချိန်ညှိခြင်း အားနည်းချက် (အသုံးပြုသူအကောင့်များ သို့မဟုတ် ဝန်ဆောင်မှုအကောင့်များအစား ကွန်ရက်မျှဝေမှုများကို အသုံးပြုသည့် ကွန်ပျူတာအကောင့်များ) ကို ရှာဖွေတွေ့ရှိနိုင်ပါသည်။ သို့သော် မှန်ကန်သော ကိရိယာများ မရှိဘဲ၊ ၎င်းသည် လုပ်ဆောင်ရန် အလွန်ခက်ခဲသည်။

ဤတိုက်ခိုက်မှုအမျိုးအစားကို ရှာဖွေပြီး တားဆီးရန်၊ ကျွန်ုပ်တို့ အသုံးပြုနိုင်ပါသည်။ ဒေတာအားသာချက် ၎င်းတို့ရှိ ကွန်ပျူတာအကောင့်များပါရှိသော အုပ်စုများကို ခွဲခြားသတ်မှတ်ရန်၊ ထို့နောက် ၎င်းတို့ထံ ဝင်ရောက်ခွင့်ကို ငြင်းပယ်ပါ။ DataAlert ပိုသွားကာ ဤကဲ့သို့သော အခြေအနေအတွက် အထူးသတိပေးချက်တစ်ခုကို ဖန်တီးနိုင်စေပါသည်။

အောက်တွင်ဖော်ပြထားသော ဖန်သားပြင်ဓာတ်ပုံသည် ကွန်ပြူတာအကောင့်တစ်ခုမှ စောင့်ကြည့်စစ်ဆေးထားသော ဆာဗာတစ်ခုပေါ်တွင် ဒေတာဝင်ရောက်သည့်အခါတိုင်း စိတ်ကြိုက်အကြောင်းကြားချက်ကို ပြသမည်ဖြစ်သည်။

PowerShell ဖြင့် နောက်အဆင့်များ

ပိုသိလိုပါသလား။ အပြည့်အစုံသို့ အခမဲ့ဝင်ရောက်ခွင့်အတွက် "blog" သော့ဖွင့်ကုဒ်ကို အသုံးပြုပါ။ PowerShell နှင့် Active Directory Basics ဗီဒီယိုသင်တန်း.

source: www.habr.com