Ескалација привилегија је коришћење нападачевих права на тренутни налог за добијање додатног, обично вишег, нивоа приступа систему. Док ескалација привилегија може бити резултат експлоатације нултог дана, главни хакери који покрећу циљани напад или вешто прикривени малвер, најчешће се дешава због погрешне конфигурације рачунара или налога. Даље развијајући напад, нападачи користе бројне појединачне рањивости, што заједно може довести до катастрофалног цурења података.
Зашто корисници не би имали права локалног администратора?
Ако сте стручњак за безбедност, може изгледати очигледно да корисници не би требало да имају права локалног администратора, јер ово:
- Чини њихове налоге рањивијим на разне нападе
- Чини ове исте нападе много озбиљнијим
Нажалост, за многе организације ово је још увек веома контроверзно питање и понекад је праћено жестоким дискусијама (види, нпр.
Корак 1: Обрните резолуцију ДНС имена користећи ПоверСхелл
ПоверСхелл је подразумевано инсталиран на многим локалним радним станицама и на већини Виндовс сервера. И док се не сматра без претеривања невероватно корисним алатом за аутоматизацију и контролу, подједнако је способан да се претвори у готово невидљив
У нашем случају, нападач почиње да врши извиђање мреже користећи ПоверСхелл скрипту, узастопно итерирајући кроз ИП адресни простор мреже, покушавајући да утврди да ли се дати ИП решава у хост, и ако јесте, које је име мреже тог хоста.
Постоји много начина да се овај задатак постигне, али помоћу цмдлет-а
import-module activedirectory Get-ADComputer -property * -filter { ipv4address -eq ‘10.10.10.10’}
Ако је брзина на великим мрежама проблем, може се користити обрнути ДНС системски позив:
[System.Net.Dns]::GetHostEntry(‘10.10.10.10’).HostName
Овај метод набрајања хостова на мрежи је веома популаран јер већина мрежа не користи безбедносни модел са нултим поверењем и не надгледа интерне ДНС упите за сумњиве навале активности.
Корак 2: Изаберите циљ
Крајњи резултат овог корака је добијање листе имена сервера и радних станица која се могу користити за наставак напада.
На основу свог имена, сервер 'ХУБ-ФИЛЕР' изгледа као достојна мета јер... Временом, сервери датотека имају тенденцију да акумулирају велики број мрежних фасцикли и прекомеран приступ њима од стране превише људи.
Прегледање помоћу Виндовс Екплорер-а нам омогућава да утврдимо да постоји отворена дељена фасцикла, али наш тренутни налог не може да јој приступи (вероватно имамо само права на листање).
Корак 3: Научите АЦЛ
Сада на нашем ХУБ-ФИЛЕР хосту и циљном дијељењу, можемо покренути ПоверСхелл скрипту да бисмо добили АЦЛ. То можемо да урадимо са локалне машине, пошто већ имамо права локалног администратора:
(get-acl hub-filershare).access | ft IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags –auto
Резултат извршења:
Из тога видимо да група Корисници домена има приступ само листи, али група за помоћ такође има права уређивања.
Корак 4: Идентификација налога
Трчање
Get-ADGroupMember -identity Helpdesk
На овој листи видимо рачун рачунара који смо већ идентификовали и којем смо већ приступили:
Корак 5: Користите ПСЕкец за рад под рачуном рачунара
PsExec.exe -s -i cmd.exe
Па, онда имате пун приступ циљној фасцикли ХУБ-ФИЛЕРсхареХР, пошто радите у контексту налога рачунара ХУБ-СХАРЕПОИНТ. А са овим приступом, подаци се могу копирати на преносиви уређај за складиштење или на други начин преузети и пренети преко мреже.
Корак 6: Откривање овог напада
Ова посебна рањивост у конфигурацији дозвола налога (рачунарски налози који приступају мрежним дељењима уместо корисничким или сервисним налозима) може се открити. Међутим, без одговарајућих алата, ово је веома тешко учинити.
Да бисмо открили и спречили ову категорију напада, можемо да користимо
Снимак екрана испод приказује прилагођено обавештење које ће се покренути сваки пут када рачун рачунара приступи подацима на надгледаном серверу.
Следећи кораци помоћу ПоверСхелл-а
Желите да сазнате више? Користите шифру за откључавање "блог" за бесплатан приступ у потпуности
Извор: ввв.хабр.цом