Ang pagtaas ng pribilehiyo ay ang paggamit ng isang umaatake sa mga kasalukuyang karapatan ng isang account upang makakuha ng karagdagang, kadalasan ay mas mataas na antas ng access sa system. Bagama't ang pagdami ng pribilehiyo ay maaaring resulta ng pagsasamantala sa mga zero-day na kahinaan, o ang gawain ng mga first-class na hacker na nagsasagawa ng naka-target na pag-atake, o matalinong nag-disguised na malware, ito ay kadalasang dahil sa maling pag-configure ng computer o account. Sa karagdagang pagbuo ng pag-atake, ang mga umaatake ay gumagamit ng ilang mga indibidwal na kahinaan, na magkakasamang maaaring humantong sa isang sakuna na pagtagas ng data.
Bakit hindi dapat magkaroon ng mga karapatan sa lokal na administrator ang mga user?
Kung ikaw ay isang propesyonal sa seguridad, maaaring mukhang halata na ang mga user ay hindi dapat magkaroon ng mga lokal na karapatan ng administrator, dahil ito:
- Ginagawang mas mahina ang kanilang mga account sa iba't ibang pag-atake
- Ginagawa ang parehong mga pag-atake na mas matindi
Sa kasamaang palad, para sa maraming mga organisasyon ito ay isang napakakontrobersyal na isyu at kung minsan ay sinasamahan ng mainit na mga talakayan (tingnan, halimbawa, ). Nang hindi isasaalang-alang ang mga detalye ng talakayang ito, naniniwala kami na ang umaatake ay nakakuha ng mga karapatan ng lokal na administrator sa system na sinisiyasat, alinman sa pamamagitan ng pagsasamantala o dahil ang mga makina ay hindi naprotektahan nang maayos.
Hakbang 1 Baliktarin ang Resolution ng DNS gamit ang PowerShell
Bilang default, naka-install ang PowerShell sa maraming lokal na workstation at sa karamihan ng mga server ng Windows. At kahit na hindi pagmamalabis na ito ay itinuturing na isang hindi kapani-paniwalang kapaki-pakinabang na tool sa pag-automate at kontrol, pareho itong may kakayahang baguhin ang sarili nito sa isang halos hindi nakikita. (isang programa sa pag-hack na hindi nag-iiwan ng mga bakas ng pag-atake).
Sa aming kaso, ang attacker ay nagsisimulang magsagawa ng network reconnaissance gamit ang isang PowerShell script, sunud-sunod na umuulit sa espasyo ng IP address ng network, sinusubukang tukuyin kung ang isang ibinigay na IP ay nare-resolve sa isang host, at kung gayon, ano ang pangalan ng network ng host na ito.
Mayroong maraming mga paraan upang magawa ang gawaing ito, ngunit gamit ang cmdlet Ang ADComputer ay isang solidong opsyon dahil nagbabalik ito ng isang talagang mayamang hanay ng data tungkol sa bawat node:
import-module activedirectory Get-ADComputer -property * -filter { ipv4address -eq β10.10.10.10β}Kung ang bilis sa malalaking network ay isang problema, maaaring gumamit ng DNS callback:
[System.Net.Dns]::GetHostEntry(β10.10.10.10β).HostName
Ang paraan ng paglilista ng mga host sa isang network ay napakasikat, dahil karamihan sa mga network ay hindi gumagamit ng zero-trust na modelo ng seguridad at hindi sinusubaybayan ang mga panloob na kahilingan ng DNS para sa kahina-hinalang pagputok ng aktibidad.
Hakbang 2: Pumili ng target
Ang huling resulta ng hakbang na ito ay upang makakuha ng listahan ng mga hostname ng server at workstation na maaaring magamit upang ipagpatuloy ang pag-atake.
Mula sa pangalan, ang 'HUB-FILER' server ay tila isang karapat-dapat na target, dahil sa paglipas ng panahon, ang mga file server, bilang panuntunan, ay nag-iipon ng isang malaking bilang ng mga folder ng network at labis na pag-access sa kanila ng napakaraming tao.
Ang pag-browse gamit ang Windows Explorer ay nagbibigay-daan sa amin na makita ang pagkakaroon ng isang bukas na nakabahaging folder, ngunit hindi ito ma-access ng aming kasalukuyang account (marahil mayroon lang kaming mga karapatan sa paglilista).
Hakbang 3: Alamin ang mga ACL
Ngayon, sa aming HUB-FILER host at target na bahagi, maaari kaming magpatakbo ng PowerShell script para makuha ang ACL. Magagawa namin ito mula sa lokal na makina, dahil mayroon na kaming mga karapatan sa lokal na administrator:
(get-acl hub-filershare).access | ft IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags βautoResulta ng pagpapatupad:
Mula rito, makikita natin na ang pangkat ng Mga User ng Domain ay may access lamang sa listahan, ngunit ang pangkat ng Helpdesk ay may mga karapatan ding magbago.
Hakbang 4: Pagkilala sa Account
Tumatakbo , makukuha natin ang lahat ng miyembro ng pangkat na ito:
Get-ADGroupMember -identity Helpdesk
Sa listahang ito nakikita namin ang isang computer account na natukoy na namin at na-access na:
Hakbang 5: Gamitin ang PSExec upang tumakbo bilang isang computer account
mula sa Microsoft Sysinternals ay nagbibigay-daan sa iyo na magpatakbo ng mga command sa konteksto ng SYSTEM@HUB-SHAREPOINT system account, na alam naming miyembro ng Helpdesk target group. Ibig sabihin, kailangan lang nating gawin:
PsExec.exe -s -i cmd.exeKung gayon, mayroon kang ganap na access sa target na folder na HUB-FILERshareHR, dahil nagtatrabaho ka sa konteksto ng HUB-SHAREPOINT computer account. At sa pag-access na ito, ang data ay maaaring kopyahin sa isang portable storage device o kung hindi man ay makuha at maipadala sa network.
Hakbang 6: Pagtukoy sa pag-atakeng ito
Ang partikular na kahinaan sa pag-tune ng pribilehiyo ng account na ito (mga computer account na nag-a-access sa mga pagbabahagi ng network sa halip na mga account ng gumagamit o mga account ng serbisyo) ay maaaring matuklasan. Gayunpaman, nang walang tamang mga tool, ito ay napakahirap gawin.
Upang matukoy at maiwasan ang kategoryang ito ng mga pag-atake, maaari naming gamitin upang matukoy ang mga pangkat na may mga computer account sa kanila, at pagkatapos ay tanggihan ang pag-access sa kanila. nagpapatuloy at nagbibigay-daan sa iyong lumikha ng isang abiso na partikular para sa ganitong uri ng senaryo.
Ang screenshot sa ibaba ay nagpapakita ng custom na notification na gagana sa tuwing mag-a-access ang isang computer account ng data sa isang sinusubaybayang server.
Mga susunod na hakbang gamit ang PowerShell
Gusto mong malaman ang higit pa? Gamitin ang "blog" unlock code para sa libreng access nang buo .
Pinagmulan: www.habr.com