Eskalasi hak istimewa adalah penggunaan oleh penyerang hak akun saat ini untuk mendapatkan tingkat akses tambahan yang biasanya lebih tinggi ke sistem. Terlepas dari kenyataan bahwa peningkatan hak istimewa mungkin merupakan hasil dari eksploitasi kerentanan zero-day, atau pekerjaan peretas kelas satu yang melakukan serangan yang ditargetkan, atau malware yang disamarkan dengan baik, tetapi paling sering ini terjadi karena konfigurasi komputer atau akun yang salah. Mengembangkan serangan lebih lanjut, penyerang mengeksploitasi sejumlah kerentanan terpisah, yang bersama-sama dapat menyebabkan kebocoran data bencana.
Mengapa pengguna tidak boleh memiliki hak administrator lokal?
Jika Anda seorang spesialis keamanan, mungkin terlihat jelas bahwa pengguna tidak boleh memiliki hak administrator lokal, karena ini:
- Membuat akun mereka lebih rentan terhadap berbagai serangan.
- Membuat serangan ini jauh lebih serius.
Sayangnya, bagi banyak organisasi ini masih merupakan masalah yang sangat kontroversial dan kadang disertai dengan diskusi yang memanas (lihat, misalnya,
manajer saya mengatakan bahwa semua pengguna harus menjadi administrator lokal ). Tanpa membahas perincian diskusi ini, kami percaya bahwa penyerang memperoleh hak administrator lokal pada sistem yang sedang diselidiki: baik melalui eksploitasi atau karena mesin tidak terlindungi dengan baik.
Langkah 1. Membalikkan resolusi nama DNS melalui PowerShell
Secara default, PowerShell diinstal di banyak workstation lokal dan di sebagian besar server Windows. Meskipun bukan tanpa berlebihan, itu dianggap sebagai alat kontrol dan otomatisasi yang sangat berguna, ia juga mampu berubah menjadi
malware fileless yang hampir tidak terlihat (program peretasan yang tidak meninggalkan jejak serangan).
Dalam kasus kami, penyerang mulai melakukan pengintaian jaringan menggunakan skrip PowerShell, secara berurutan menyortir ruang alamat IP jaringan, mencoba menentukan apakah IP ini diizinkan untuk host, dan jika demikian, apa nama jaringan host ini.
Ada banyak cara untuk menyelesaikan tugas ini, tetapi menggunakan cmdlet Get-ADComputer adalah opsi yang andal karena mengembalikan dataset yang sangat kaya tentang setiap node:
import-module activedirectory Get-ADComputer -property * -filter { ipv4address -eq '10.10.10.10'}
Jika kecepatan kerja di jaringan besar menyebabkan masalah, maka sistem panggilan balik DNS dapat digunakan:
[System.Net.Dns]::GetHostEntry('10.10.10.10').HostName
Metode daftar node pada jaringan sangat populer, karena sebagian besar jaringan tidak menggunakan model keamanan nol-kepercayaan dan tidak melacak permintaan DNS internal untuk lonjakan aktivitas yang mencurigakan.
Langkah 2: Pemilihan Sasaran
Hasil akhir dari langkah ini adalah untuk mendapatkan daftar nama host server dan workstation yang dapat digunakan untuk melanjutkan serangan.
Dilihat dari namanya, server 'HUB-FILER' tampaknya menjadi tujuan yang layak, karena Seiring waktu, server file cenderung mengakumulasi banyak folder jaringan dan akses berlebihan ke mereka oleh terlalu banyak orang.
Melihat menggunakan Windows Explorer memungkinkan kami untuk menentukan apakah ada folder bersama yang terbuka, tetapi akun kami saat ini tidak dapat mengaksesnya (mungkin kami hanya memiliki hak untuk mendaftar).
Langkah 3: Pelajari ACL
Sekarang pada host HUB-FILER kami dan folder share target, kita dapat menjalankan skrip PowerShell untuk mendapatkan ACL. Kami dapat melakukan ini dari mesin lokal, karena kami sudah memiliki hak administrator lokal:
(get-acl \\hub-filer\share).access | ft IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags βauto
Hasil Eksekusi:
Dari sini kita melihat bahwa grup Pengguna Domain hanya memiliki akses ke daftar, tetapi grup Helpdesk juga memiliki hak untuk berubah.
Langkah 4: Identifikasi Akun
Dengan menjalankan
Get-ADGroupMember , kita bisa mendapatkan semua anggota grup ini:
Get-ADGroupMember -identity Helpdesk
Dalam daftar ini kita melihat akun komputer yang telah kita identifikasi dan yang telah kita akses:
Langkah 5: Gunakan PSExec untuk bekerja dari akun komputer
PsExec dari Microsoft Sysinternals memungkinkan Anda untuk mengeksekusi perintah dalam konteks akun sistem SYSTEM @ HUB-SHAREPOINT, yang, seperti kita ketahui, adalah anggota gugus tugas Helpdesk. Artinya, cukup bagi kita untuk melakukan:
PsExec.exe -s -i cmd.exe
Nah, maka Anda memiliki akses penuh ke folder target \\ HUB-FILER \ share \ HR, karena Anda bekerja dalam konteks akun komputer HUB-SHAREPOINT. Dan dengan akses ini, data dapat disalin ke perangkat penyimpanan portabel atau diambil dan ditransfer melalui jaringan.
Langkah 6: deteksi serangan ini
Kerentanan khusus ini untuk mengatur hak istimewa akun (akun komputer yang mengakses folder jaringan bersama, bukan akun pengguna atau akun layanan) dapat dideteksi. Namun, tanpa alat yang tepat, ini sangat sulit.
Untuk mendeteksi dan mencegah kategori serangan ini, kita dapat menggunakan
DatAdvantage untuk mengidentifikasi grup dengan akun komputer di dalamnya, dan kemudian menutup akses ke sana.
DatAlert melangkah lebih jauh dan memungkinkan Anda membuat pemberitahuan khusus untuk skenario seperti itu.
Tangkapan layar di bawah ini menunjukkan pemberitahuan pengguna yang akan dipicu setiap kali akun komputer mengakses data pada server yang dipantau.
Langkah Berikutnya Menggunakan PowerShell
Ingin tahu lebih banyak? Gunakan kode buka kunci "blog" untuk akses gratis ke
kursus video PowerShell lengkap
dan Fundamental Direktori Aktif .