Een hacker rechten kan escaleren in een domein op vele manieren, en leren hoe ze werken is de helft van de strijd in het verminderen van uw aanvallen. In dit bericht, we gaan door vijf manieren waarop een niet-gemachtigde gebruiker (van nu af aan alleen de naam “gebruiker”) kunt gebruiken om uw eigen netwerk en hoe je jezelf kunt beschermen.
We nemen ook aan dat de aanvaller heeft toegang tot een domein of computer toegang heeft tot het netwerk.
1. Escaleren naar de SYSTEEM Account
Escalatie van bevoegdheden naar de lokale account op de computer is, in veel gevallen, is het eerste wat een aanvaller moet doen. De aanvaller kan gebruik maken van een breed scala van technieken voor het uitvoeren van de escalatie, en sommige van hen zijn hier samengevat.
Natuurlijk, je hebt de helft van de baan voor de aanvaller als de gebruiker al heeft de lokale beheerder op de computer. Ik heb samengevat een paar van de onderstaande methoden, zodat je kunt krijgen een beeld van hoe de aanvallers te verheffen tot SYSTEEM.
Mitigatie Tips:
- Opzetten van een solide eerste lijn van verdediging met AppLocker.
- Implementeren van oplossingen zoals ATP.
- Gebruikers leren met de “eerst denken, klikt u op later” mentaliteit (hoewel sommigen nog steeds doen het andersom soms).
- De Uitvoering Van Identificatie-Guard.
Verkeerde Rechten op Uitvoerbare bestanden/Scripts Liep door een Bevoorrechte Account
Dit is een van de meest voorkomende methoden die een kwaadwillende gebruiker kan gebruiken om te escaleren naar een SYSTEEM. De aanvaller scans voor geplande taken of diensten die gelanceerd worden door een bevoorrechte account op die computer (dat is, het SYSTEEM of zelfs een gebruiker). De aanvaller vervolgens scant de Exen/scripts en Dll ‘ s in verband met het te zien als zijn eigendom van gebruiker schrijf rechten.
De aanvaller swaps of wijzigt u de Exen/Scripts of DLL-bestanden naar iets dat hen een backdoor op het SYSTEEM rekening met behulp van tools zoals PowerUp.
Mitigatie Tip:
Scannen en monitoren permissies van de uitvoerbare bestanden, scripts, en Dll ‘ s die uw diensten en geplande taken gebruiken.
Ontbrekende Security Patches
Sinds 2015, meer dan 100 CVEs gepubliceerd voor Windows-10 hebben toegestaan een aanvaller te escaleren hun rechten op een computer. Vergeet niet om de update van de stuurprogramma ‘ s ook! Je weet het al, natuurlijk, dat het patchen van uw systemen is belangrijk, maar het is altijd goed met een herinnering.
2. Pas-De-Hash
Pas-De-Hash (PTH) is een veel voorkomende techniek die de aanvallers gebruiken zodra ze de lokale beheerder of SYSTEEM-privileges. PTH ontdekt werd reeds in 1997, maar het is een zwakke plek “by design” in de Windows NTLM authenticatie mechanisme.
PTH geeft je niet het wachtwoord in leesbare tekst, wat het doet is dat het hergebruik van een gebruiker NTLM hash van het wachtwoord te verifiëren met andere systemen.
De aanvaller kan gebruiken hulpmiddelen zoals Mimikatz uitpakken van de NTLM hash van het geheugen, die meestal vereist dat een gebruiker meer rechten dan de eigendom van gebruiker is in te loggen op de systemen effectief te zijn. Maar hoe doen de aanvallers weten dat een admin in te loggen op die computer? Nou, dat is simpel—ze veroorzaken problemen met de machine aan en wacht ondersteuning in te loggen.
Een ander belangrijk ding is dat Pas-De-Hash werkt op de lokale administrator-account! Dit betekent dat de hash van de computer administrator account SID (500) kan worden gebruikt om alle andere computers in het domein.
Mitigatie Tips:
- De implementatie van Microsoft Gelaagde Model en een aparte admin accounts, afhankelijk van hun tier (Desktop Admin, Server Admin, Domein, Admin, etc.).
- De uitvoering van de Lokale Administrator-Wachtwoord Oplossing voor unieke wachtwoorden op alle computers.
- Lees meer over PTH mitigatie in Microsoft ‘ s “Verzachtende Pas-de-Hash en Andere Identificatie Diefstal” (PDF).
3. De Root Gebruiker Is Eigenlijk niet zonder rechten
Dit is een veel voorkomende scenario—de eigendom van gebruiker is bevoorrecht, maar je weet het niet (nog) niet. De aanvaller kan het scannen van het netwerk en Active Directory met een tool genaamd BloodHound te vinden aanval paden die zijn uiterst moeilijk te ontdekken in de normale gevallen.
BloodHound maakt gebruik van een grafisch gegevensbestand genoemd Neo4j te ontdekken van de verborgen relaties tussen gebruikers en computers met behulp van grafentheorie. En de meeste van de verzameling van gegevens dat het niet gedaan kan worden door een normale gebruiker. Het kan zelfs ontdekken lokale admin en actieve sessies op externe computers.
Het is niet ongewoon dat een gebruiker zonder rechten heeft om te Schrijven of Wachtwoord Wijzigen machtigingen in Active Directory op een gebruiker met meer privileges, meestal door een ongeluk of door pure luiheid.
Mitigatie Tip: Scan je omgeving regelmatig met BloodHound te ontdekken onbedoelde relaties.
4. De aanval op de Admin
De Admins zijn meer blootgesteld dan andere gebruikers, en het is niet ongewoon dat ze gericht zijn tijdens een aanval. De aanvaller heeft meestal geen probleem het vinden van wachtwoorden en escalerende eenmaal in de root account van de beheerder te zijn.
Mitigatie Tips:
- Bewust worden van spear-phishing-pogingen.
- De implementatie van een Microsoft Gelaagde Model.
- Het implementeren van de MFA of Smartcard-aanmelding voor alle administrator-accounts.
5. Scannen op Kwetsbaarheden
Een aanvaller zal starten met het scannen voor kwetsbare software op uw netwerk op als ze het niet kunnen escaleren voorrecht door de vorige methoden. Dit wordt meestal gedaan met tools als Spits of Metasploit, en is een effectieve manier van escalerend in omgevingen waar het patchen van systemen tweedehands of systemen van ondersteuning.
Mitigatie Tips:
- Een patchen routine voor al uw systemen en niet alleen voor het besturingssysteem.
- Buiten gebruik te stellen of het segment van verouderde systemen.
Nawoorden
De beveiliging kan moeilijk worden, maar het wordt een stuk gemakkelijker als u meer bewust van te zijn hoe het werkt. U moet ook denken aan de aanslagen als een keten van daden en dat alles in uw netwerk wordt aangesloten.
Met een paar mitigatie technieken, kunt u zich goed bestand tegen aanvallers, maar het is nooit gegarandeerd. De meeste aanvallers zijn het runnen van een bedrijf, en als ze vinden het te moeilijk of tijdrovend is om je doelgroep, ze zullen kiezen voor een eenvoudiger doelwit.
Het doel moet zijn om de aanvallers ROI (Return on Investment) zo laag als mogelijk, en het moet zo hard mogelijk voor hen te verheffen via uw netwerk.