Ukuaji wa fursa ni matumizi ya mshambulizi wa haki za sasa za akaunti kupata nyongeza, kwa kawaida kiwango cha juu cha ufikiaji wa mfumo. Ingawa kuongezeka kwa fursa kunaweza kuwa matokeo ya kutumia udhaifu wa siku sifuri, au kazi ya wavamizi wa daraja la kwanza kufanya mashambulizi yanayolengwa, au programu hasidi iliyofichwa vizuri, mara nyingi hutokana na usanidi usiofaa wa kompyuta au akaunti. Kuendeleza mashambulizi zaidi, washambuliaji hutumia idadi ya udhaifu wa mtu binafsi, ambayo kwa pamoja inaweza kusababisha uvujaji wa data mbaya.
Kwa nini watumiaji hawapaswi kuwa na haki za msimamizi wa ndani?
Ikiwa wewe ni mtaalamu wa usalama, inaweza kuonekana wazi kuwa watumiaji hawapaswi kuwa na haki za msimamizi wa ndani, kama hii:
- Hufanya akaunti zao kuathiriwa zaidi na mashambulizi mbalimbali
- Hufanya mashambulizi hayo hayo kuwa makali zaidi
Kwa bahati mbaya, kwa mashirika mengi hili bado ni suala lenye utata na wakati mwingine huambatana na mijadala mikali (tazama, kwa mfano, ) Bila kuingia katika undani wa mjadala huu, tunaamini kwamba mshambuliaji alipata haki za msimamizi wa eneo kwenye mfumo unaochunguzwa, ama kwa unyonyaji au kwa sababu mashine hazikulindwa ipasavyo.
Hatua ya 1 Badilisha Azimio la DNS na PowerShell
Kwa chaguo-msingi, PowerShell imewekwa kwenye vituo vingi vya kazi vya ndani na kwenye seva nyingi za Windows. Na ingawa sio bila kutia chumvi kwamba inachukuliwa kuwa zana muhimu sana ya otomatiki na udhibiti, ina uwezo sawa wa kujibadilisha kuwa kitu kisichoonekana. (mpango wa udukuzi ambao hauachi athari za shambulio hilo).
Kwa upande wetu, mshambulizi huanza kutekeleza upelelezi wa mtandao kwa kutumia hati ya PowerShell, akirudia msururu kwenye nafasi ya anwani ya IP ya mtandao, akijaribu kubaini ikiwa IP iliyotolewa itasuluhisha seva pangishi, na ikiwa ndivyo, jina la mtandao la seva pangishi hii ni lipi.
Kuna njia nyingi za kukamilisha kazi hii, lakini kwa kutumia cmdlet ADComputer ni chaguo thabiti kwa sababu inarudisha seti tajiri ya data kuhusu kila nodi:
import-module activedirectory Get-ADComputer -property * -filter { ipv4address -eq β10.10.10.10β}Ikiwa kasi kwenye mitandao mikubwa ni tatizo, basi simu ya DNS inaweza kutumika:
[System.Net.Dns]::GetHostEntry(β10.10.10.10β).HostName
Njia hii ya kuorodhesha wapangishaji kwenye mtandao ni maarufu sana, kwani mitandao mingi haitumii mfano wa usalama wa kutoaminika na haifuatilii hoja za ndani za DNS kwa shughuli zinazotiliwa shaka.
Hatua ya 2: Chagua lengo
Matokeo ya mwisho ya hatua hii ni kupata orodha ya seva na majina ya wapangishi wa kituo cha kazi ambayo yanaweza kutumika kuendeleza mashambulizi.
Kutoka kwa jina, seva ya 'HUB-FILER' inaonekana kama lengo linalofaa, tangu kwa wakati, seva za faili, kama sheria, hujilimbikiza idadi kubwa ya folda za mtandao na ufikiaji mwingi kwao na watu wengi.
Kuvinjari na Windows Explorer huturuhusu kugundua uwepo wa folda iliyoshirikiwa iliyo wazi, lakini akaunti yetu ya sasa haiwezi kuipata (labda tuna haki za kuorodhesha tu).
Hatua ya 3: Jifunze ACL
Sasa, kwenye mpangishi wetu wa HUB-FILER na kushiriki lengwa, tunaweza kuendesha hati ya PowerShell ili kupata ACL. Tunaweza kufanya hivi kutoka kwa mashine ya ndani, kwa kuwa tayari tuna haki za msimamizi wa ndani:
(get-acl hub-filershare).access | ft IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags βautoMatokeo ya utekelezaji:
Kutoka humo tunaona kwamba kikundi cha Watumiaji wa Kikoa kinaweza kufikia uorodheshaji pekee, lakini kikundi cha Helpdesk pia kina haki ya kubadilika.
Hatua ya 4: Utambulisho wa Akaunti
Kimbia , tunaweza kupata washiriki wote wa kikundi hiki:
Get-ADGroupMember -identity Helpdesk
Katika orodha hii tunaona akaunti ya kompyuta ambayo tayari tumeitambua na tayari tumeifikia:
Hatua ya 5: Tumia PSExec kuendesha kama akaunti ya kompyuta
kutoka kwa Microsoft Sysinternals hukuruhusu kutekeleza amri katika muktadha wa akaunti ya mfumo SYSTEM@HUB-SHAREPOINT, ambayo tunajua ni mwanachama wa kikundi kinacholengwa cha Helpdesk. Hiyo ni, tunahitaji tu kufanya:
PsExec.exe -s -i cmd.exeKweli, basi una ufikiaji kamili wa folda inayolengwa ya HUB-FILERshareHR, kwa kuwa unafanya kazi katika muktadha wa akaunti ya kompyuta ya HUB-SHAREPOINT. Na kwa ufikiaji huu, data inaweza kunakiliwa kwenye kifaa cha kuhifadhi kinachobebeka au kupatikana tena na kutumwa kupitia mtandao.
Hatua ya 6: Kugundua shambulio hili
Athari hii ya urekebishaji wa fursa za akaunti (akaunti za kompyuta zinazofikia hisa za mtandao badala ya akaunti za watumiaji au akaunti za huduma) zinaweza kugunduliwa. Hata hivyo, bila zana sahihi, hii ni vigumu sana kufanya.
Kugundua na kuzuia aina hii ya mashambulizi, tunaweza kutumia kutambua vikundi vilivyo na akaunti za kompyuta ndani yao, na kisha kukataa ufikiaji wao. huenda mbali zaidi na hukuruhusu kuunda arifa mahususi kwa aina hii ya hali.
Picha ya skrini iliyo hapa chini inaonyesha arifa maalum ambayo itawaka kila wakati akaunti ya kompyuta inapofikia data kwenye seva inayofuatiliwa.
Hatua zinazofuata na PowerShell
Unataka kujua zaidi? Tumia msimbo wa kufungua "blogu" kwa ufikiaji wa bure kwa ukamilifu .
Chanzo: mapenzi.com