ప్రివిలేజ్ ఎస్కలేషన్ అనేది సిస్టమ్కి అదనపు, సాధారణంగా అధిక స్థాయి యాక్సెస్ని పొందడానికి దాడి చేసేవారి కరెంట్ ఖాతా హక్కులను ఉపయోగించడం. ప్రత్యేకాధికారాల పెంపు అనేది జీరో-డే దోపిడీలు, మాస్టర్ హ్యాకర్లు లక్ష్యంగా దాడిని ప్రారంభించడం లేదా తెలివిగా మారువేషంలో ఉన్న మాల్వేర్ ఫలితంగా ఉండవచ్చు, ఇది చాలా తరచుగా కంప్యూటర్ లేదా ఖాతా తప్పుగా కాన్ఫిగరేషన్ చేయడం వల్ల సంభవిస్తుంది. దాడిని మరింత అభివృద్ధి చేయడం ద్వారా, దాడి చేసేవారు అనేక వ్యక్తిగత దుర్బలత్వాలను ఉపయోగించుకుంటారు, ఇది కలిసి విపత్తు డేటా లీక్కు దారి తీస్తుంది.
వినియోగదారులు స్థానిక నిర్వాహక హక్కులను ఎందుకు కలిగి ఉండకూడదు?
మీరు సెక్యూరిటీ ప్రొఫెషనల్ అయితే, వినియోగదారులు స్థానిక అడ్మినిస్ట్రేటర్ హక్కులను కలిగి ఉండకూడదని స్పష్టంగా అనిపించవచ్చు, ఎందుకంటే ఇది:
- వారి ఖాతాలను వివిధ దాడులకు మరింత హాని కలిగించేలా చేస్తుంది
- ఇదే దాడులను మరింత తీవ్రంగా చేస్తుంది
దురదృష్టవశాత్తూ, అనేక సంస్థలకు ఇది ఇప్పటికీ చాలా వివాదాస్పద అంశం మరియు కొన్నిసార్లు వేడి చర్చలతో కూడి ఉంటుంది (ఉదాహరణకు చూడండి,
దశ 1: పవర్షెల్ ఉపయోగించి DNS పేరు రిజల్యూషన్ రివర్స్
డిఫాల్ట్గా, పవర్షెల్ అనేక స్థానిక వర్క్స్టేషన్లలో మరియు చాలా విండోస్ సర్వర్లలో ఇన్స్టాల్ చేయబడింది. మరియు ఇది చాలా ఉపయోగకరమైన ఆటోమేషన్ మరియు నియంత్రణ సాధనంగా పరిగణించబడుతుందనడంలో అతిశయోక్తి లేకపోయినా, ఇది దాదాపు కనిపించనిదిగా మార్చగల సామర్థ్యాన్ని కలిగి ఉంటుంది.
మా సందర్భంలో, దాడి చేసే వ్యక్తి పవర్షెల్ స్క్రిప్ట్ని ఉపయోగించి నెట్వర్క్ నిఘాను ప్రారంభించడం ప్రారంభిస్తాడు, నెట్వర్క్ యొక్క IP చిరునామా స్థలం ద్వారా వరుసగా మళ్ళించబడతాడు, ఇచ్చిన IP హోస్ట్కు పరిష్కరిస్తుందో లేదో తెలుసుకోవడానికి ప్రయత్నిస్తుంది మరియు అలా అయితే, ఆ హోస్ట్ యొక్క నెట్వర్క్ పేరు ఏమిటి.
ఈ పనిని సాధించడానికి అనేక మార్గాలు ఉన్నాయి, కానీ cmdletని ఉపయోగించడం
import-module activedirectory Get-ADComputer -property * -filter { ipv4address -eq ‘10.10.10.10’}
పెద్ద నెట్వర్క్లలో వేగం సమస్య అయితే, రివర్స్ DNS సిస్టమ్ కాల్ని ఉపయోగించవచ్చు:
[System.Net.Dns]::GetHostEntry(‘10.10.10.10’).HostName
నెట్వర్క్లో హోస్ట్లను లెక్కించే ఈ పద్ధతి బాగా ప్రాచుర్యం పొందింది ఎందుకంటే చాలా నెట్వర్క్లు జీరో ట్రస్ట్ సెక్యూరిటీ మోడల్ను ఉపయోగించవు మరియు అనుమానాస్పద కార్యకలాపాల కోసం అంతర్గత DNS ప్రశ్నలను పర్యవేక్షించవు.
దశ 2: లక్ష్యాన్ని ఎంచుకోండి
ఈ దశ యొక్క తుది ఫలితం దాడిని కొనసాగించడానికి ఉపయోగించే సర్వర్ మరియు వర్క్స్టేషన్ హోస్ట్నేమ్ల జాబితాను పొందడం.
దాని పేరు ఆధారంగా, 'హబ్-ఫైలర్' సర్వర్ విలువైన లక్ష్యంలా కనిపిస్తోంది ఎందుకంటే... కాలక్రమేణా, ఫైల్ సర్వర్లు పెద్ద సంఖ్యలో నెట్వర్క్ ఫోల్డర్లను కూడబెట్టుకుంటాయి మరియు చాలా మంది వ్యక్తులు వాటికి అధిక ప్రాప్యతను కలిగి ఉంటారు.
విండోస్ ఎక్స్ప్లోరర్తో బ్రౌజ్ చేయడం ద్వారా ఓపెన్ షేర్డ్ ఫోల్డర్ ఉందని నిర్ధారించడానికి మాకు వీలు కల్పిస్తుంది, కానీ మా ప్రస్తుత ఖాతా దాన్ని యాక్సెస్ చేయదు (మేము బహుశా జాబితా హక్కులు మాత్రమే కలిగి ఉంటాము).
దశ 3: ACL నేర్చుకోవడం
ఇప్పుడు మా HUB-FILER హోస్ట్ మరియు టార్గెట్ షేర్లో, ACLని పొందడానికి మేము PowerShell స్క్రిప్ట్ని అమలు చేయవచ్చు. మేము ఇప్పటికే స్థానిక నిర్వాహక హక్కులను కలిగి ఉన్నందున మేము దీన్ని స్థానిక యంత్రం నుండి చేయవచ్చు:
(get-acl hub-filershare).access | ft IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags –auto
అమలు ఫలితం:
డొమైన్ యూజర్ల గ్రూప్కి లిస్టింగ్కి మాత్రమే యాక్సెస్ ఉందని, హెల్ప్డెస్క్ గ్రూప్కి ఎడిటింగ్ హక్కులు కూడా ఉన్నాయని దాని నుండి మనం చూస్తాము.
దశ 4: ఖాతా గుర్తింపు
నడుస్తోంది
Get-ADGroupMember -identity Helpdesk
ఈ జాబితాలో మనం ఇప్పటికే గుర్తించిన మరియు ఇప్పటికే యాక్సెస్ చేసిన కంప్యూటర్ ఖాతాను చూస్తాము:
దశ 5: కంప్యూటర్ ఖాతా కింద పని చేయడానికి PSExec ఉపయోగించండి
PsExec.exe -s -i cmd.exe
సరే, మీరు HUB-SHAREPOINT కంప్యూటర్ ఖాతా సందర్భంలో పని చేస్తున్నందున HUB-FILERshareHR లక్ష్య ఫోల్డర్కు మీకు పూర్తి ప్రాప్యత ఉంది. మరియు ఈ యాక్సెస్తో, డేటాను పోర్టబుల్ స్టోరేజ్ పరికరానికి కాపీ చేయవచ్చు లేదా నెట్వర్క్ ద్వారా తిరిగి పొందవచ్చు మరియు బదిలీ చేయవచ్చు.
దశ 6: ఈ దాడిని గుర్తించడం
ఈ నిర్దిష్ట ఖాతా అనుమతుల కాన్ఫిగరేషన్ దుర్బలత్వం (వినియోగదారు ఖాతాలు లేదా సేవా ఖాతాలకు బదులుగా నెట్వర్క్ షేర్లను యాక్సెస్ చేసే కంప్యూటర్ ఖాతాలు) కనుగొనవచ్చు. అయితే, సరైన సాధనాలు లేకుండా, దీన్ని చేయడం చాలా కష్టం.
ఈ వర్గం దాడులను గుర్తించి నిరోధించడానికి, మేము ఉపయోగించవచ్చు
దిగువ స్క్రీన్షాట్ మానిటర్ చేయబడిన సర్వర్లో కంప్యూటర్ ఖాతా డేటాను యాక్సెస్ చేసినప్పుడల్లా ట్రిగ్గర్ చేయబడే అనుకూల నోటిఫికేషన్ను చూపుతుంది.
PowerShellని ఉపయోగించి తదుపరి దశలు
మరింత తెలుసుకోవాలనుకుంటున్నారా? పూర్తి ఉచిత యాక్సెస్ కోసం అన్లాక్ కోడ్ "బ్లాగ్"ని ఉపయోగించండి
మూలం: www.habr.com