Пять способов, которым непривилегированная учетная запись может владеть вашей сетью — CloudSavvy IT

Концепция сетевой безопасности
Сергей Нивенс / Shutterstock

Хакер может наращивать привилегии в домене разными способами, и изучение того, как они работают, является залогом уменьшения поверхности вашей атаки. В этом посте мы рассмотрим пять способов, которыми непривилегированный пользователь (отныне только именуемый «пользователь») может использовать для владения вашей сетью и как вы можете защитить себя.

Мы также предполагаем, что злоумышленник либо имеет доступ к компьютеру, присоединенному к домену, либо имеет доступ к сети.

1. Переход на учетную запись SYSTEM

Повышение привилегий локальной учетной записи на компьютере во многих случаях является первым, что необходимо сделать злоумышленнику. Злоумышленник может использовать широкий спектр методов для выполнения эскалации, и некоторые из них здесь кратко,

Конечно, вы выполнили половину работы для злоумышленника, если у пользователя уже есть локальный администратор на компьютере. Я суммировал несколько методов ниже, чтобы вы могли получить представление о том, как злоумышленники повышаются до уровня SYSTEM.

Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)


Советы по смягчению последствий:

  • Создайте прочную первую линию обороны с AppLocker.
  • Внедрить такие решения, как СПС.
  • Обучите пользователей менталитету «сначала думай, потом щелкни» (хотя некоторые могут все же иногда делать это наоборот).
  • Реализация мандатной гвардии.

Неверные разрешения на исполняемые файлы / скрипты, запускаемые привилегированной учетной записью

Это один из самых распространенных методов, которые злоумышленник может использовать для перехода в SYSTEM. Злоумышленник сканирует запланированные задачи или службы, которые запускаются привилегированной учетной записью на этом компьютере (то есть SYSTEM или даже пользователем домена). Затем злоумышленник сканирует EXE-файлы / сценарии и связанные с ним DLL-файлы, чтобы определить, есть ли у его пользователя права на запись.

Затем злоумышленник заменяет или изменяет файлы EXE / Scripts или DLL на что-то, что дает им доступ к учетной записи SYSTEM с помощью таких инструментов, как PowerUp,


Совет по смягчению последствий:

Сканируйте и отслеживайте разрешения на доступ к файлам исполняемых файлов, сценариев и библиотек DLL, используемых вашими службами и запланированными задачами.


Отсутствуют патчи безопасности

С 2015 года более 100 CVE опубликованы для Windows 10 позволили злоумышленнику повысить свои привилегии на компьютере. Не забудьте обновить драйверы! Вы уже знаете, конечно, что исправление ваших систем важно, но это всегда хорошо с напоминанием.

2. Pass-The-Hash

Pass-The-Hash (PTH) — это распространенная техника, которую злоумышленники используют, если у них есть права локального администратора или SYSTEM. PTH был обнаружен уже в 1997 году, но это «недостаток» в механизме аутентификации Windows NTLM.

PTH не дает вам пароль в виде открытого текста, он использует то, что повторно использует хэш пароля NTLM пользователя для аутентификации в других системах.

Атакующий может использовать такие инструменты, как Mimikatz чтобы извлечь хеш NTLM из памяти, что обычно требует, чтобы пользователь, имеющий больше привилегий, чем владелец, вошел в систему, чтобы быть эффективным. Но как злоумышленники узнают, что администратор войдет на этот компьютер? Ну, это легко — они вызывают проблемы с машиной и ждут, пока служба поддержки войдет в систему.

Еще одна важная вещь, на которую следует обратить внимание: Pass-The-Hash работает на учетной записи локального администратора! Это означает, что хэш учетной записи администратора компьютера (SID 500) может использоваться для владения всеми другими компьютерами в домене.


Советы по смягчению последствий:


3. Непривилегированный пользователь на самом деле не является непривилегированным

Это также распространенный сценарий — привилегированный пользователь принадлежит, но вы еще этого не знаете. Злоумышленник может сканировать сеть и Active Directory с помощью инструмента под названием ищейка найти пути атаки, которые чрезвычайно трудно обнаружить в обычных случаях.

BloodHound использует базу данных графиков под названием Neo4j обнаруживать скрытые отношения между пользователями и компьютерами с помощью Теория графов, И большая часть сбора данных, который это делает, может быть сделана обычным пользователем. Он даже может обнаружить локального администратора и активные сеансы на удаленных компьютерах.

Нередко непривилегированный пользователь должен Напишите или же Сменить пароль разрешения в Active Directory для пользователя с большими правами, обычно случайно или из-за лени.


Совет по смягчению последствий: Регулярно сканируйте свою среду с BloodHound, чтобы обнаружить непреднамеренные отношения.


4. Атакующий админ

Администраторы более уязвимы, чем другие пользователи, и нередко они становятся мишенью во время атаки. У злоумышленника обычно нет проблем с поиском паролей и эскалацией один раз в непривилегированной учетной записи администратора.


Советы по смягчению последствий:


5. Сканирование на наличие уязвимостей

Злоумышленник начнет сканирование на наличие уязвимого программного обеспечения в вашей сети, если он не сможет повысить привилегии с помощью предыдущих методов. Обычно это делается с помощью таких инструментов, как ударник или же Metasploitи является эффективным способом расширения в средах, в которых системы исправлений приходят из-под контроля или системы не получают поддержки.


Советы по смягчению последствий:

  • Выполняйте процедуру исправления для всех ваших систем, а не только для операционной системы.
  • Вывод из эксплуатации или сегмент устаревших систем.

Послесловие

Безопасность может быть сложной, но она становится намного проще, если вы лучше осознаете ее и то, как она работает. Вы также должны рассматривать атаки как цепочку эксплойтов и то, что все в вашей сети связано.

С помощью нескольких приемов смягчения вы можете стать довольно стойкими к злоумышленникам, но это никогда не гарантировано. Большинство злоумышленников ведут бизнес, и, если им будет сложно нацелить вас на это, или они займут много времени, они выберут более простую цель.

Цель должна состоять в том, чтобы сделать ROI (возврат инвестиций) злоумышленников как можно ниже, и им должно быть как можно сложнее подняться через вашу сеть.

Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *