Поиск по сайту:

Пять способов, которыми непривилегированная учетная запись пользователя может владеть вашей сетью

Хакер может повышать привилегии в домене многими способами, и изучение того, как они работают, — это половина успеха в уменьшении вашей поверхности атаки. В этом посте мы рассмотрим пять способов, которые непривилегированный пользователь (далее именуемый «пользователь») может использовать для владения вашей сетью, и как вы можете защитить себя.

Мы также предполагаем, что злоумышленник либо имеет доступ к компьютеру, присоединенному к домену, либо имеет доступ к сети.

1. Эскалация до учетной записи SYSTEM

Повышение привилегий до локальной системной учетной записи на компьютере — это во многих случаях первое, что нужно сделать злоумышленнику. Злоумышленник может использовать широкий спектр методов для выполнения эскалации, и некоторые из них приведены здесь.

Конечно, вы сделали половину работы для злоумышленника, если у пользователя уже есть локальный админ на компьютере. Я суммировал несколько методов ниже, чтобы вы могли получить представление о том, как злоумышленники поднимаются до SYSTEM.

Советы по смягчению последствий:

  • Создайте надежную первую линию защиты с помощью AppLocker.
  • Внедрение таких решений, как ATP.
  • Обучать пользователей принципу сначала подумай, потом нажми (даже несмотря на то, что некоторые иногда поступают наоборот).
  • Внедрение Credential Guard.

Неправильные разрешения для исполняемых файлов/скриптов, запускаемых привилегированной учетной записью

Это один из наиболее распространенных методов, которые злоумышленник может использовать для эскалации до SYSTEM. Злоумышленник ищет запланированные задачи или службы, которые запускаются привилегированной учетной записью на этом компьютере (то есть СИСТЕМОЙ или даже пользователем домена). Затем злоумышленник сканирует связанные с ним EXE/скрипты и библиотеки DLL, чтобы узнать, есть ли у его владельца права на запись.

Затем злоумышленник заменяет или изменяет файлы EXE/Scripts или DLL на что-то, что дает им доступ к учетной записи SYSTEM с помощью таких инструментов, как PowerUp.

Совет по смягчению последствий:

Сканируйте и отслеживайте права доступа к исполняемым файлам, сценариям и библиотекам DLL, которые используются вашими службами и запланированными задачами.

Отсутствующие исправления безопасности

С 2015 года опубликовано более 100 CVE для Windows 10, которые позволили злоумышленнику повысить свои привилегии на компьютере. Не забудьте также обновить драйвера! Вы, конечно, уже знаете, что исправление ваших систем важно, но всегда полезно напомнить об этом.

2. Передайте хэш

Pass-The-Hash (PTH) — это распространенная техника, которую используют злоумышленники, если у них есть права локального администратора или СИСТЕМА. PTH был обнаружен еще в 1997 году, но это «задуманный» недостаток механизма аутентификации Windows NTLM.

PTH не дает вам пароль в открытом виде, он повторно использует NTLM-хэш пароля пользователя для аутентификации в других системах.

Злоумышленник может использовать такие инструменты, как Mimikatz, для извлечения хэша NTLM из памяти, что обычно требует, чтобы пользователь с более высокими привилегиями, чем владелец, входил в систему, чтобы быть эффективным. Но как злоумышленники узнают, что на этот компьютер войдет администратор? Что ж, это легко — они вызывают проблемы с машиной и ждут, пока служба поддержки войдет в систему.

Еще одна важная вещь, на которую следует обратить внимание, это то, что Pass-The-Hash работает с учетной записью локального администратора! Это означает, что хэш учетной записи администратора компьютера (SID 500) может использоваться для владения всеми другими компьютерами в домене.

Советы по смягчению последствий:

  • Внедрить многоуровневую модель Microsoft и отдельные учетные записи администраторов в зависимости от их уровня (администратор рабочего стола, администратор сервера, администратор домена и т. д.).
  • Внедрите решение для создания паролей локального администратора для создания уникальных паролей на всех компьютерах.
  • Подробнее о предотвращении PTH читайте в документе Майкрософт «Предотвращение передачи хэша и других хищений учетных данных» (PDF).

3. Непривилегированный пользователь на самом деле не является непривилегированным

Это также распространенный сценарий — владелец имеет привилегии, но вы об этом не знаете (пока). Злоумышленник может сканировать сеть и Active Directory с помощью инструмента под названием BloodHound, чтобы найти пути атаки, которые чрезвычайно трудно обнаружить в обычных случаях.

BloodHound использует базу данных графов под названием Neo4j для обнаружения скрытых связей между пользователями и компьютерами с помощью теории графов. И большая часть сбора данных может быть выполнена обычным пользователем. Он может даже обнаруживать локального администратора и активные сеансы на удаленных компьютерах.

Нередко непривилегированный пользователь должен предоставить разрешения Записать или Изменить пароль в Active Directory для пользователя с большими привилегиями, обычно случайно или из-за чистой лени.

Совет по смягчению последствий: регулярно сканируйте свои среды с помощью BloodHound, чтобы обнаруживать непреднамеренные связи.

4. Атака на администратора

Администраторы более уязвимы, чем другие пользователи, и нередко они становятся мишенью во время атаки. У злоумышленника обычно нет проблем с поиском паролей и эскалацией один раз внутри непривилегированной учетной записи администратора.

Советы по смягчению последствий:

  • Остерегайтесь попыток целевого фишинга.
  • Внедрите многоуровневую модель Microsoft.
  • Реализовать вход с использованием MFA или смарт-карты для всех учетных записей администраторов.

5. Сканирование на наличие уязвимостей

Злоумышленник начнет поиск уязвимого программного обеспечения в вашей сети, если он не сможет повысить привилегии с помощью предыдущих методов. Обычно это делается с помощью таких инструментов, как Striker или Metasploit, и является эффективным способом эскалации в средах, где системы исправления подержаны или системы не поддерживаются.

Советы по смягчению последствий:

  • У вас должна быть процедура установки исправлений для всех ваших систем, а не только для операционной системы.
  • Вывести из эксплуатации или сегментировать устаревшие системы.

Послесловия

Безопасность может быть сложной, но она становится намного проще, если вы больше знаете о ней и о том, как она работает. Вы также должны думать об атаках как о цепочке эксплойтов и о том, что все в вашей сети связано.

С помощью нескольких методов смягчения вы можете стать достаточно устойчивым к злоумышленникам, но это никогда не гарантируется. Большинство злоумышленников занимаются бизнесом, и если они сочтут, что нацелиться на вас слишком сложно или отнимет много времени, они выберут более простую цель.

Цель должна заключаться в том, чтобы сделать ROI (возврат инвестиций) злоумышленников как можно ниже, и им должно быть как можно сложнее подняться через вашу сеть.