|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|
||
|
|
X |
|
|
|
|
|
||
|
- |
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
||
|
|
|
|
|
|
|
|||
|
|
|
|
|
BUY |
|
|
||
|
|
|
|
to |
|
|
|
|
|
w Click |
|
|
|
|
m |
||||
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
|
e |
|
|
|
|
|
|
|
n |
|
|
||
|
|
|
|
|
|
Глава |
|||
|
|
|
|
-xcha |
|
|
|
||
8
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
Повышение привилегий
В предыдущих главах мы объяснилипроцесс выполнения атакидо момента,ког- да злоумышленник может скомпрометировать систему. В главе 7 «Дальнейшее распространение по сети» мы обсудили, как злоумышленник может переме- щаться в скомпрометированной системе, не будучи идентифицированным или избегая оповещений об опасности. Наблюдалась общая тенденция, когда, чтобы избежать этих оповещений,использовалисьлегитимные средства.Аналогичную тенденциютакже можно наблюдать в этой фазе жизненного цикла атаки.
Вэтой главе будет уделено пристальное внимание тому, как злоумышлен- ники повышают привилегии учетных записей пользователей, которые они скомпрометировали. Задача злоумышленника на этом этапе – получить необ- ходимый уровень привилегий для достижения большей цели. Это может быть массовоеудаление,повреждениеиликражаданных,отключениекомпьютеров, порча оборудования и многое другое. Злоумышленнику требуется контроль над системами доступа, чтобы он мог выполнить все свои планы. В основном злоумышленники стремятся получить привилегии уровня администратора, прежде чем они перейдут к фактической атаке. Многие разработчики систем используют правило наименьших привилегий, т. е. назначают пользователям наименьшее количество привилегий, необходимых для выполнения их зада- ний. Поэтому большинство учетных записей не имеет достаточных прав, ко- торыми можно злоупотреблятьдля получениядоступа или изменения файлов. Хакеры, как правило, будут взламывать учетные записи с низкими привиле- гиями и, следовательно, должны будут обновить их до более высоких приви- легий, чтобы получить доступ к файлам или выполнить изменения в системе.
Вэтой главе будут рассмотрены следующие темы:
инфильтрация;как избежать оповещений;
выполнение повышения привилегий;заключение.
Инфильтрация
Повышение привилегий обычно происходит глубоко внутри атаки. Это озна- чает, что злоумышленник уже провел разведку и успешно скомпрометировал
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
Инфильтрация 159to |
BUY |
|
|
||||||||||||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
w Click |
|
|
|
|
|
|
|
m |
w Click |
|
|
|
|
|
|
|
m |
||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
систему,благодаря чему получилдоступ.После этого злоумышленник пройдет |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||||
через нее с помощью дальнейшего распространения и определит все системы иустройства,представляющиеинтерес.Наэтомэтапезлоумышленникунужна надежная зацепка в системе.Возможно,он скомпрометировал учетную запись обычного пользователя и, следовательно, будет искать учетную запись с более высокими привилегиями для дальнейшего изучения системы или подготов- ки к последнему удару. Повышение привилегий – непростая фаза, поскольку иногда для повышения привилегий злоумышленнику необходимо использо- вать комбинацию навыков и инструментов. Обычно существует два вида по- вышения привилегий: горизонтальное и вертикальное.
Горизонтальное повышение привилегий
При горизонтальном повышении привилегий злоумышленник использует обычную учетную запись для доступа к учетным записям других пользовате- лей. Это простой процесс, поскольку злоумышленник не стремится активно обновлять привилегии учетной записи, ведь они ему предоставлены. Поэтому при данном типе повышения привилегий для обновления учетных записей не используются никакие инструменты. Существует два основных способа гори- зонтального повышения привилегий. Первый – посредством программных ошибок, в результате чего обычный пользователь может просматривать фай- лы других пользователей и получать к ним доступ из-за ошибки при написа- нии системы.Как видно,никакие специальные инструменты не используются, и все же злоумышленник получаетдоступ к файлам,которые в противном слу- чае должны были быть скрыты от глаз обычных пользователей.
Еще один пример – случай, когда злоумышленнику повезло скомпромети- ровать учетную запись администратора. При этом не будет необходимости ис- пользоватьинструментыиметодывзломадляповышенияпривилегийучетной записи, которую взломал пользователь.Уже обладая привилегиями уровня ад- министратора, злоумышленники могут продолжить атаку, создав других поль- зователей уровня администратора. Также они могут просто использовать уже взломанную учетную запись для выполнения атаки. Горизонтальное повыше- ние привилегий обычно можно сделать с помощью инструментов и методов, которые крадут учетные данные входа в систему на этапе, когда хакеры ком- прометируют ее. В главе, посвященной компрометации системы, обсуждался ряд инструментов,спомощью которых было показано,как хакер можетвосста- новитьпароли,украстьихупользователейилинепосредственноскомпромети- роватьучетныезаписи.Вудачныхдляхакерасценарияхскомпрометированные учетные записи будут принадлежать пользователям с привилегиями высокого уровня,поэтому у них не будеттрудностей при обновлении учетной записи.
Вертикальное повышение привилегий
Еще один тип повышения привилегий – вертикальное повышение, состоя- щее из более требовательных методов повышения привилегий и включающее
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
160 Повышение привилегий |
|
|
|
|
to |
|
|
|
|
|
|
|||||||
w Click |
|
w Click |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
в себя использование специальных инструментов взлома. Это сложно, но не |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||||
невозможно, поскольку злоумышленник вынужден выполнять действия на уровне администратора или ядра с целью незаконного повышенияправдосту- па. Вертикальное повышение прав более сложное, но также и более полезное для злоумышленника, поскольку он может получить системные права. У си- стемного пользователя больше прав, чем у администратора, следовательно, он может причинить больше вреда. У злоумышленника также больше шансов остатьсяивыполнитьдействиявсетевойсистеме,будучиприэтомнезамечен- ными. С правами суперпользователя злоумышленник может выполнять дей- ствия, которые администратор не может остановить. Методы вертикального повышения варьируются от системы к системе. В Windows распространенной практикойявляетсяпереполнениебуферадлявертикальногоповышенияпри- вилегий. Это уже было засвидетельствовано в эксплойте EternalBlue, который, как утверждается, является одним из средств взлома, принадлежащих АНБ. Однако он был опубликован хакерской группой Shadow Brokers.
В Linux вертикальное повышение осуществляется путем предоставления злоумышленникам привилегий суперпользователя, которые позволяют им изменять системы и программы. В Mac вертикальное повышение привилегий выполняется благодаря процессу джейлбрейк, позволяя хакерам осуществ лять ранее запрещенные операции. Это операции, от которых производители ограничивают пользователей, чтобы защитить целостность своих устройств и операционных систем. Вертикальное повышение также выполняется в вебинструментах. Обычно это происходит за счет эксплуатации кода, используе- мого в серверной части. Время от времени разработчики систем по незнанию оставляют уязвимости,которые могут быть использованы хакерами,особенно при отправке форм.
Как избежать оповещений
Так же, как и на предыдущих этапах, в интересах хакера избегать возникно- вения каких-либо оповещений, сообщающих о том, что система была ском- прометирована. Обнаружение, особенно на этом этапе, будет дорогостоящим, поскольку будет означать, что все усилия, предпринятые злоумышленником, пройдут даром. Поэтому, прежде чем злоумышленник выполнит этот этап, обычно отключается система безопасности,если это возможно.Методы повы- шения привилегий также довольно сложны.
В большинстве случаев злоумышленнику придется создавать файлы с вре- доносным кодом, а не использовать стандартные инструменты для выполне- ния злонамеренных действий против системы.
Большинство систем будет написано для предоставления привилегий толь- ко легитимным службам и процессам. Поэтому злоумышленники попытаются скомпрометировать эти службы и процессы, чтобы получить преимущество от выполнения действий с повышенными привилегиями. Хакерам сложно ис-
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
Выполнение повышения привилегий 161to |
BUY |
|
|
||||||||||||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
w Click |
|
|
|
|
|
|
|
m |
w Click |
|
|
|
|
|
|
|
m |
||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
пользоватьметодполногоперебора,чтобыполучитьпривилегииадминистра- |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||||
тора, поэтому они часто идут по пути наименьшего сопротивления. Если это означает создание файлов, идентичных тем, которые система признает леги- тимными, они это сделают.
Еще один способ избежать оповещений – использовать легитимные сред- ства для выполнения атаки. Как упоминалось в предыдущих главах, исполь- зование PowerShell в качестве хакерского инструмента растет вследствие его мощности,атакжеиз-затого,чтомногиесистемынегенерируютоповещения, поскольку это встроенный инструмент ОС.
Выполнение повышения привилегий
Повышение привилегий может быть выполнено несколькими способами, что зависитотуровня мастерства,которым обладаетхакер,и предполагаемого ре- зультата процесса повышения привилегий. В Windows доступ с правами ад- министратора не должен быть особо распространен, и у обычных пользовате- лей нет такого доступа к системам. Однако иногда возникает необходимость предоставить удаленным пользователям права администратора, чтобы они могли устранять неполадки и решать проблемы. Это то, о чем должны беспо- коитьсясистемныеадминистраторы.Предоставляяудаленнымпользователям доступ с правами администратора, администраторы должны быть достаточно осторожны, чтобы гарантировать, что этот тип доступа не используется для повышения привилегий. Существуют риски, когда обычные сотрудники орга- низации обладаюттаким доступом. Они делают сеть открытой для атак по не- скольким векторам.
Начнем с того,что злоумышленники также могут использовать этот уровень доступа для извлечения хешей паролей, которые впоследствии могут быть ис- пользованы для восстановления реальных паролей или непосредственно при удаленныхатакахчерезпередачухеша.Этоужеподробнообсуждалосьвглаве7 «Дальнейшее распространение по сети». Другая угроза заключается в том, что они могут использовать свои системы для захвата пакетов. Злоумышленники также могут устанавливать программное обеспечение, которое может оказать- ся вредоносным.Наконец,они могут проникать в реестр.Поэтому предполага- ется,что предоставление подобногодоступа пользователям–плохая практика.
Поскольку доступ с правами администратора является строго охраняемой привилегией,злоумышленникам,чтобы получитьдоступ,в основном придет- ся пробиваться, используя ряд инструментов и методов. Компьютеры Apple обладают несколько более надежной операционной системой, когда речь за- ходит о безопасности. Однако существует несколько способов, обнаруженных злоумышленниками, которые можно использовать для повышения привиле- гий в OS X.
Ниже приведены некоторые наиболее часто используемые методы повыше- ния привилегий.