Përshkallëzimi i privilegjeve është përdorimi nga një sulmues i të drejtave aktuale të një llogarie për të fituar akses shtesë, zakonisht më të lartë në sistem. Ndërsa përshkallëzimi i privilegjeve mund të jetë rezultat i shfrytëzimit të dobësive të ditës zero, ose punës së hakerëve të klasit të parë që kryejnë një sulm të synuar, ose malware të maskuar mirë, më së shpeshti është për shkak të konfigurimit të gabuar të kompjuterit ose llogarisë. Duke e zhvilluar më tej sulmin, sulmuesit përdorin një sërë dobësish individuale, të cilat së bashku mund të çojnë në një rrjedhje katastrofike të të dhënave.
Pse përdoruesit nuk duhet të kenë të drejta administratori lokal?
Nëse jeni profesionist i sigurisë, mund të duket e qartë se përdoruesit nuk duhet të kenë të drejta administratori lokal, si kjo:
- I bën llogaritë e tyre më të prekshme ndaj sulmeve të ndryshme
- I bën të njëjtat sulme shumë më të rënda
Fatkeqësisht, për shumë organizata kjo është ende një çështje shumë e diskutueshme dhe ndonjëherë shoqërohet me diskutime të nxehta (shih, për shembull, ). Pa hyrë në detajet e këtij diskutimi, ne besojmë se sulmuesi fitoi të drejtat e administratorit lokal në sistemin nën hetim, qoftë përmes një shfrytëzimi ose për shkak se makinat nuk ishin të mbrojtura siç duhet.
Hapi 1 Kthejeni rezolucionin e DNS me PowerShell
Si parazgjedhje, PowerShell është instaluar në shumë stacione pune lokale dhe në shumicën e serverëve të Windows. Dhe ndërsa nuk është pa ekzagjerim që konsiderohet një mjet tepër i dobishëm automatizimi dhe kontrolli, ai është po aq i aftë të shndërrohet në një mjet pothuajse të padukshëm. (një program hakerimi që nuk lë gjurmë sulmi).
Në rastin tonë, sulmuesi fillon të kryejë zbulimin e rrjetit duke përdorur një skript PowerShell, duke përsëritur në mënyrë sekuenciale në hapësirën e adresës IP të rrjetit, duke u përpjekur të përcaktojë nëse një IP e caktuar zgjidhet në një host dhe nëse po, cili është emri i rrjetit të këtij hosti.
Ka shumë mënyra për të përmbushur këtë detyrë, por duke përdorur cmdlet ADComputer është një opsion solid sepse kthen një grup vërtet të pasur të dhënash për secilën nyje:
import-module activedirectory Get-ADComputer -property * -filter { ipv4address -eq ‘10.10.10.10’}Nëse shpejtësia në rrjetet e mëdha është një problem, atëherë mund të përdoret një thirrje kthimi DNS:
[System.Net.Dns]::GetHostEntry(‘10.10.10.10’).HostName
Kjo metodë e renditjes së hosteve në një rrjet është shumë e popullarizuar, pasi shumica e rrjeteve nuk përdorin një model sigurie me besim zero dhe nuk monitorojnë pyetjet e brendshme DNS për shpërthime të dyshimta të aktivitetit.
Hapi 2: Zgjidhni një objektiv
Rezultati përfundimtar i këtij hapi është marrja e një liste të emrave të serverëve dhe stacioneve të punës që mund të përdoren për të vazhduar sulmin.
Nga emri, serveri 'HUB-FILER' duket si një objektiv i denjë, pasi me kalimin e kohës, serverët e skedarëve, si rregull, grumbullojnë një numër të madh dosjesh të rrjetit dhe qasje të tepërt në to nga shumë njerëz.
Shfletimi me Windows Explorer na lejon të zbulojmë praninë e një dosjeje të përbashkët të hapur, por llogaria jonë aktuale nuk mund të hyjë në të (ndoshta kemi vetëm të drejta listimi).
Hapi 3: Mësoni ACL-të
Tani, në hostin tonë HUB-FILER dhe pjesën e synuar, ne mund të ekzekutojmë një skript PowerShell për të marrë ACL. Ne mund ta bëjmë këtë nga makina lokale, pasi tashmë kemi të drejta të administratorit lokal:
(get-acl hub-filershare).access | ft IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags –autoRezultati i ekzekutimit:
Prej tij shohim se grupi Domain Users ka qasje vetëm në listë, por grupi Helpdesk gjithashtu ka të drejtën për të ndryshuar.
Hapi 4: Identifikimi i llogarisë
Duke vrapuar , mund të marrim të gjithë anëtarët e këtij grupi:
Get-ADGroupMember -identity Helpdesk
Në këtë listë ne shohim një llogari kompjuteri që ne e kemi identifikuar tashmë dhe i kemi aksesuar tashmë:
Hapi 5: Përdorni PSExec për të ekzekutuar si një llogari kompjuteri
nga Microsoft Sysinternals ju lejon të ekzekutoni komanda në kontekstin e llogarisë së sistemit SYSTEM@HUB-SHAREPOINT, që ne e dimë se është një anëtar i grupit të synuar të Helpdesk. Kjo do të thotë, ne vetëm duhet të bëjmë:
PsExec.exe -s -i cmd.exeEpo, atëherë ju keni akses të plotë në dosjen e synuar HUB-FILERshareHR, pasi jeni duke punuar në kontekstin e llogarisë së kompjuterit HUB-SHAREPOINT. Dhe me këtë akses, të dhënat mund të kopjohen në një pajisje ruajtëse portative ose të merren dhe të transmetohen ndryshe përmes rrjetit.
Hapi 6: Zbulimi i këtij sulmi
Kjo dobësi e veçantë e akordimit të privilegjeve të llogarisë (llogaritë kompjuterike që aksesojnë aksionet e rrjetit në vend të llogarive të përdoruesve ose llogarive të shërbimit) mund të zbulohet. Sidoqoftë, pa mjetet e duhura, kjo është shumë e vështirë për t'u bërë.
Për të zbuluar dhe parandaluar këtë kategori sulmesh, ne mund të përdorim për të identifikuar grupet me llogari kompjuterike në to, dhe më pas për të mohuar aksesin në to. shkon më tej dhe ju lejon të krijoni një njoftim posaçërisht për këtë lloj skenari.
Pamja e ekranit më poshtë tregon një njoftim të personalizuar që do të lëshohet sa herë që një llogari kompjuteri akseson të dhënat në një server të monitoruar.
Hapat e mëtejshëm me PowerShell
Dëshironi të dini më shumë? Përdorni kodin e zhbllokimit "blog" për akses falas në të plotë .
Burimi: www.habr.com