Imtiyozlarni oshirish - bu tajovuzkor tomonidan qo'shimcha, odatda tizimga kirishning yuqori darajasini olish uchun hisobning joriy huquqlaridan foydalanish. Imtiyozlarning kuchayishi nol kunlik zaifliklardan foydalanish yoki maqsadli hujumni amalga oshiruvchi birinchi darajali xakerlar ishi yoki yaxshi yashirilgan zararli dasturlarning natijasi bo'lishi mumkin bo'lsa-da, bu ko'pincha kompyuter yoki hisobning noto'g'ri konfiguratsiyasi bilan bog'liq. Hujumni yanada rivojlantirish, tajovuzkorlar bir qator individual zaifliklardan foydalanadilar, ular birgalikda ma'lumotlarning halokatli tarqalishiga olib kelishi mumkin.
Nima uchun foydalanuvchilar mahalliy administrator huquqlariga ega bo'lmasligi kerak?
Agar siz xavfsizlik bo'yicha mutaxassis bo'lsangiz, foydalanuvchilarning mahalliy administrator huquqlariga ega bo'lmasligi aniq ko'rinishi mumkin, masalan:
- Ularning hisoblarini turli hujumlarga nisbatan zaifroq qiladi
- Xuddi shu hujumlarni ancha qattiqroq qiladi
Afsuski, ko'pgina tashkilotlar uchun bu hali ham juda munozarali masala bo'lib, ba'zida qizg'in muhokamalar bilan birga keladi (masalan, qarang: ). Ushbu muhokama tafsilotlariga kirmasdan, biz tajovuzkor ekspluatatsiya orqali yoki mashinalar to'g'ri himoyalanmaganligi sababli tekshirilayotgan tizimda mahalliy administrator huquqlarini qo'lga kiritgan deb hisoblaymiz.
1-qadam PowerShell yordamida DNS ruxsatini teskari o'zgartirish
Odatiy bo'lib, PowerShell ko'plab mahalliy ish stantsiyalarida va aksariyat Windows serverlarida o'rnatiladi. Va bu juda foydali avtomatlashtirish va boshqarish vositasi deb hisoblansa-da, u o'zini deyarli ko'rinmas narsaga aylantirishga qodir. (hujum izlarini qoldirmaydigan xakerlik dasturi).
Bizning holatlarimizda, tajovuzkor PowerShell skriptidan foydalanib, tarmoq IP-manzil bo'shlig'i bo'ylab ketma-ket takrorlanib, berilgan IP-ni xostga hal qiladimi yoki yo'qligini aniqlashga harakat qilib, tarmoqni qidirishni boshlaydi va agar shunday bo'lsa, ushbu xostning tarmoq nomi nima.
Ushbu vazifani bajarishning ko'plab usullari mavjud, ammo cmdlet yordamida ADComputer - bu ishonchli variant, chunki u har bir tugun haqida juda boy ma'lumotlar to'plamini qaytaradi:
import-module activedirectory Get-ADComputer -property * -filter { ipv4address -eq β10.10.10.10β}Katta tarmoqlarda tezlik muammo bo'lsa, DNS qayta qo'ng'iroq qilish mumkin:
[System.Net.Dns]::GetHostEntry(β10.10.10.10β).HostName
Tarmoqdagi xostlarni ro'yxatga olishning bu usuli juda mashhur, chunki ko'pchilik tarmoqlar nol ishonchli xavfsizlik modelidan foydalanmaydi va shubhali faoliyat portlashlari uchun ichki DNS so'rovlarini kuzatmaydi.
2-qadam: Maqsadni tanlang
Ushbu bosqichning yakuniy natijasi hujumni davom ettirish uchun ishlatilishi mumkin bo'lgan server va ish stantsiyasining xost nomlari ro'yxatini olishdir.
Nomidan "HUB-FILER" serveri munosib nishonga o'xshaydi, chunki vaqt o'tishi bilan fayl serverlari, qoida tariqasida, ko'p sonli tarmoq papkalarini va ularga juda ko'p odamlar tomonidan haddan tashqari kirishni to'playdi.
Windows Explorer bilan ko'rish bizga ochiq umumiy jild mavjudligini aniqlash imkonini beradi, ammo bizning joriy hisob qaydnomamiz unga kira olmaydi (ehtimol, bizda faqat ro'yxatga olish huquqi bor).
3-qadam: ACLlarni o'rganing
Endi HUB-FILER xost va maqsadli ulushimizda biz ACLni olish uchun PowerShell skriptini ishga tushirishimiz mumkin. Biz buni mahalliy mashinadan qilishimiz mumkin, chunki bizda allaqachon mahalliy administrator huquqlari mavjud:
(get-acl hub-filershare).access | ft IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags βautoAmalga oshirish natijasi:
Undan biz Domen foydalanuvchilari guruhi faqat ro'yxatga kirish huquqiga ega ekanligini ko'ramiz, ammo Helpdesk guruhi ham o'zgartirish huquqiga ega.
4-qadam: Hisobni identifikatsiya qilish
Yugurish , biz ushbu guruhning barcha a'zolarini olishimiz mumkin:
Get-ADGroupMember -identity Helpdesk
Ushbu ro'yxatda biz allaqachon aniqlagan va allaqachon kirgan kompyuter hisobini ko'ramiz:
5-qadam: Kompyuter hisobi sifatida ishlash uchun PSExec-dan foydalaning
Microsoft Sysinternals'dan sizga yordam xizmati maqsadli guruhining a'zosi ekanligi bizga ma'lum bo'lgan SYSTEM@HUB-SHAREPOINT tizimi hisobi kontekstida buyruqlarni bajarish imkonini beradi. Ya'ni, biz shunchaki qilishimiz kerak:
PsExec.exe -s -i cmd.exeXo'sh, siz HUB-FILERshareHR maqsadli papkasiga to'liq kirishingiz mumkin, chunki siz HUB-SHAREPOINT kompyuter hisobi kontekstida ishlaysiz. Va bu kirish orqali ma'lumotlar portativ saqlash qurilmasiga ko'chirilishi yoki boshqa yo'l bilan olinishi va tarmoq orqali uzatilishi mumkin.
6-qadam: Ushbu hujumni aniqlash
Ushbu maxsus hisob imtiyozlarini sozlash zaifligi (foydalanuvchi hisoblari yoki xizmat hisoblari o'rniga tarmoq ulushlariga kirish uchun kompyuter hisoblari) aniqlanishi mumkin. Biroq, to'g'ri vositalarsiz buni qilish juda qiyin.
Ushbu toifadagi hujumlarni aniqlash va oldini olish uchun biz foydalanishimiz mumkin kompyuter hisoblari bo'lgan guruhlarni aniqlash va keyin ularga kirishni rad etish. yanada davom etadi va ushbu turdagi stsenariy uchun maxsus bildirishnoma yaratishga imkon beradi.
Quyidagi skrinshotda kompyuter hisobi nazorat qilinadigan serverdagi ma'lumotlarga har safar kirishda ishga tushadigan maxsus bildirishnoma ko'rsatilgan.
PowerShell bilan keyingi qadamlar
Ko'proq bilishni xohlaysizmi? To'liq ma'lumotga bepul kirish uchun "blog" qulfini ochish kodidan foydalaning .
Manba: www.habr.com