Ескалација привилегија је коришћење нападачевих права на тренутни налог за добијање додатног, обично вишег, нивоа приступа систему. Док ескалација привилегија може бити резултат експлоатације нултог дана, главни хакери који покрећу циљани напад или вешто прикривени малвер, најчешће се дешава због погрешне конфигурације рачунара или налога. Даље развијајући напад, нападачи користе бројне појединачне рањивости, што заједно може довести до катастрофалног цурења података.
Зашто корисници не би имали права локалног администратора?
Ако сте стручњак за безбедност, може изгледати очигледно да корисници не би требало да имају права локалног администратора, јер ово:
- Чини њихове налоге рањивијим на разне нападе
- Чини ове исте нападе много озбиљнијим
Нажалост, за многе организације ово је још увек веома контроверзно питање и понекад је праћено жестоким дискусијама (види, нпр. ). Не улазећи у детаље ове дискусије, верујемо да је нападач стекао права локалног администратора на систему који је под истрагом, било експлоатацијом или зато што машине нису биле прописно обезбеђене.
Корак 1: Обрните резолуцију ДНС имена користећи ПоверСхелл
ПоверСхелл је подразумевано инсталиран на многим локалним радним станицама и на већини Виндовс сервера. И док се не сматра без претеривања невероватно корисним алатом за аутоматизацију и контролу, подједнако је способан да се претвори у готово невидљив (програм за хаковање који не оставља трагове напада).
У нашем случају, нападач почиње да врши извиђање мреже користећи ПоверСхелл скрипту, узастопно итерирајући кроз ИП адресни простор мреже, покушавајући да утврди да ли се дати ИП решава у хост, и ако јесте, које је име мреже тог хоста.
Постоји много начина да се овај задатак постигне, али помоћу цмдлет-а АДЦомпутер је поуздана опција јер враћа заиста богат скуп података о сваком чвору:
import-module activedirectory Get-ADComputer -property * -filter { ipv4address -eq ‘10.10.10.10’}Ако је брзина на великим мрежама проблем, може се користити обрнути ДНС системски позив:
[System.Net.Dns]::GetHostEntry(‘10.10.10.10’).HostName
Овај метод набрајања хостова на мрежи је веома популаран јер већина мрежа не користи безбедносни модел са нултим поверењем и не надгледа интерне ДНС упите за сумњиве навале активности.
Корак 2: Изаберите циљ
Крајњи резултат овог корака је добијање листе имена сервера и радних станица која се могу користити за наставак напада.
На основу свог имена, сервер 'ХУБ-ФИЛЕР' изгледа као достојна мета јер... Временом, сервери датотека имају тенденцију да акумулирају велики број мрежних фасцикли и прекомеран приступ њима од стране превише људи.
Прегледање помоћу Виндовс Екплорер-а нам омогућава да утврдимо да постоји отворена дељена фасцикла, али наш тренутни налог не може да јој приступи (вероватно имамо само права на листање).
Корак 3: Научите АЦЛ
Сада на нашем ХУБ-ФИЛЕР хосту и циљном дијељењу, можемо покренути ПоверСхелл скрипту да бисмо добили АЦЛ. То можемо да урадимо са локалне машине, пошто већ имамо права локалног администратора:
(get-acl hub-filershare).access | ft IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags –autoРезултат извршења:
Из тога видимо да група Корисници домена има приступ само листи, али група за помоћ такође има права уређивања.
Корак 4: Идентификација налога
Трчање , можемо добити све чланове ове групе:
Get-ADGroupMember -identity Helpdesk
На овој листи видимо рачун рачунара који смо већ идентификовали и којем смо већ приступили:
Корак 5: Користите ПСЕкец за рад под рачуном рачунара
из Мицрософт Сисинтерналс вам омогућава да извршавате команде у контексту системског налога СИСТЕМ@ХУБ-СХАРЕПОИНТ, за који знамо да је члан циљне групе Хелпдеск-а. То јест, само треба да урадимо:
PsExec.exe -s -i cmd.exeПа, онда имате пун приступ циљној фасцикли ХУБ-ФИЛЕРсхареХР, пошто радите у контексту налога рачунара ХУБ-СХАРЕПОИНТ. А са овим приступом, подаци се могу копирати на преносиви уређај за складиштење или на други начин преузети и пренети преко мреже.
Корак 6: Откривање овог напада
Ова посебна рањивост у конфигурацији дозвола налога (рачунарски налози који приступају мрежним дељењима уместо корисничким или сервисним налозима) може се открити. Међутим, без одговарајућих алата, ово је веома тешко учинити.
Да бисмо открили и спречили ову категорију напада, можемо да користимо да идентификује групе са компјутерским налозима у њима, а затим да им забрани приступ. иде даље и омогућава вам да креирате обавештење посебно за ову врсту сценарија.
Снимак екрана испод приказује прилагођено обавештење које ће се покренути сваки пут када рачун рачунара приступи подацима на надгледаном серверу.
Следећи кораци помоћу ПоверСхелл-а
Желите да сазнате више? Користите шифру за откључавање "блог" за бесплатан приступ у потпуности .
Извор: ввв.хабр.цом