Ukuaji wa fursa ni matumizi ya mshambulizi wa haki za sasa za akaunti kupata nyongeza, kwa kawaida kiwango cha juu cha ufikiaji wa mfumo. Ingawa kuongezeka kwa fursa kunaweza kuwa matokeo ya kutumia udhaifu wa siku sifuri, au kazi ya wavamizi wa daraja la kwanza kufanya mashambulizi yanayolengwa, au programu hasidi iliyofichwa vizuri, mara nyingi hutokana na usanidi usiofaa wa kompyuta au akaunti. Kuendeleza mashambulizi zaidi, washambuliaji hutumia idadi ya udhaifu wa mtu binafsi, ambayo kwa pamoja inaweza kusababisha uvujaji wa data mbaya.
Kwa nini watumiaji hawapaswi kuwa na haki za msimamizi wa ndani?
Ikiwa wewe ni mtaalamu wa usalama, inaweza kuonekana wazi kuwa watumiaji hawapaswi kuwa na haki za msimamizi wa ndani, kama hii:
- Hufanya akaunti zao kuathiriwa zaidi na mashambulizi mbalimbali
- Hufanya mashambulizi hayo hayo kuwa makali zaidi
Kwa bahati mbaya, kwa mashirika mengi hili bado ni suala lenye utata na wakati mwingine huambatana na mijadala mikali (tazama, kwa mfano,
Hatua ya 1 Badilisha Azimio la DNS na PowerShell
Kwa chaguo-msingi, PowerShell imewekwa kwenye vituo vingi vya kazi vya ndani na kwenye seva nyingi za Windows. Na ingawa sio bila kutia chumvi kwamba inachukuliwa kuwa zana muhimu sana ya otomatiki na udhibiti, ina uwezo sawa wa kujibadilisha kuwa kitu kisichoonekana.
Kwa upande wetu, mshambulizi huanza kutekeleza upelelezi wa mtandao kwa kutumia hati ya PowerShell, akirudia msururu kwenye nafasi ya anwani ya IP ya mtandao, akijaribu kubaini ikiwa IP iliyotolewa itasuluhisha seva pangishi, na ikiwa ndivyo, jina la mtandao la seva pangishi hii ni lipi.
Kuna njia nyingi za kukamilisha kazi hii, lakini kwa kutumia cmdlet
import-module activedirectory Get-ADComputer -property * -filter { ipv4address -eq β10.10.10.10β}
Ikiwa kasi kwenye mitandao mikubwa ni tatizo, basi simu ya DNS inaweza kutumika:
[System.Net.Dns]::GetHostEntry(β10.10.10.10β).HostName
Njia hii ya kuorodhesha wapangishaji kwenye mtandao ni maarufu sana, kwani mitandao mingi haitumii mfano wa usalama wa kutoaminika na haifuatilii hoja za ndani za DNS kwa shughuli zinazotiliwa shaka.
Hatua ya 2: Chagua lengo
Matokeo ya mwisho ya hatua hii ni kupata orodha ya seva na majina ya wapangishi wa kituo cha kazi ambayo yanaweza kutumika kuendeleza mashambulizi.
Kutoka kwa jina, seva ya 'HUB-FILER' inaonekana kama lengo linalofaa, tangu kwa wakati, seva za faili, kama sheria, hujilimbikiza idadi kubwa ya folda za mtandao na ufikiaji mwingi kwao na watu wengi.
Kuvinjari na Windows Explorer huturuhusu kugundua uwepo wa folda iliyoshirikiwa iliyo wazi, lakini akaunti yetu ya sasa haiwezi kuipata (labda tuna haki za kuorodhesha tu).
Hatua ya 3: Jifunze ACL
Sasa, kwenye mpangishi wetu wa HUB-FILER na kushiriki lengwa, tunaweza kuendesha hati ya PowerShell ili kupata ACL. Tunaweza kufanya hivi kutoka kwa mashine ya ndani, kwa kuwa tayari tuna haki za msimamizi wa ndani:
(get-acl hub-filershare).access | ft IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags βauto
Matokeo ya utekelezaji:
Kutoka humo tunaona kwamba kikundi cha Watumiaji wa Kikoa kinaweza kufikia uorodheshaji pekee, lakini kikundi cha Helpdesk pia kina haki ya kubadilika.
Hatua ya 4: Utambulisho wa Akaunti
Kimbia
Get-ADGroupMember -identity Helpdesk
Katika orodha hii tunaona akaunti ya kompyuta ambayo tayari tumeitambua na tayari tumeifikia:
Hatua ya 5: Tumia PSExec kuendesha kama akaunti ya kompyuta
PsExec.exe -s -i cmd.exe
Kweli, basi una ufikiaji kamili wa folda inayolengwa ya HUB-FILERshareHR, kwa kuwa unafanya kazi katika muktadha wa akaunti ya kompyuta ya HUB-SHAREPOINT. Na kwa ufikiaji huu, data inaweza kunakiliwa kwenye kifaa cha kuhifadhi kinachobebeka au kupatikana tena na kutumwa kupitia mtandao.
Hatua ya 6: Kugundua shambulio hili
Athari hii ya urekebishaji wa fursa za akaunti (akaunti za kompyuta zinazofikia hisa za mtandao badala ya akaunti za watumiaji au akaunti za huduma) zinaweza kugunduliwa. Hata hivyo, bila zana sahihi, hii ni vigumu sana kufanya.
Kugundua na kuzuia aina hii ya mashambulizi, tunaweza kutumia
Picha ya skrini iliyo hapa chini inaonyesha arifa maalum ambayo itawaka kila wakati akaunti ya kompyuta inapofikia data kwenye seva inayofuatiliwa.
Hatua zinazofuata na PowerShell
Unataka kujua zaidi? Tumia msimbo wa kufungua "blogu" kwa ufikiaji wa bure kwa ukamilifu
Chanzo: mapenzi.com