يمكن للمتسلل تصعيد الامتيازات في المجال بعدة طرق، ومعرفة كيفية عملها هي نصف المعركة في تقليل مساحة الهجوم لديك. في هذا المنشور، سنستعرض خمس طرق يمكن لمستخدم غير مميز (من الآن فصاعدًا يسمى “المستخدم” فقط) الاستفادة منها لامتلاك شبكتك وكيف يمكنك حماية نفسك.
ونفترض أيضًا أن المهاجم لديه إمكانية الوصول إلى جهاز كمبيوتر متصل بالمجال أو لديه حق الوصول إلى الشبكة.
1. التصعيد إلى حساب النظام
يعد تصعيد الامتيازات إلى حساب النظام المحلي على الكمبيوتر، في كثير من الحالات، أول شيء يتعين على المهاجم القيام به. يمكن للمهاجم استخدام مجموعة واسعة من التقنيات لإجراء التصعيد، وبعضها كذلك تلخيصها هنا.
بالطبع، لقد قمت بنصف المهمة للمهاجم إذا كان المستخدم لديه بالفعل مسؤول محلي على الكمبيوتر. لقد قمت بتلخيص طريقتين أدناه حتى تتمكن من الحصول على صورة لكيفية ترقية المهاجمين إلى SYSTEM.
نصائح التخفيف:
- إنشاء خط دفاع أول قوي مع AppLocker.
- تنفيذ حلول مثل اعبي التنس المحترفين.
- قم بتثقيف المستخدمين بعقلية “فكر أولاً، انقر لاحقًا” (على الرغم من أن البعض قد لا يزالون يفعلون ذلك في الاتجاه المعاكس في بعض الأحيان).
- تنفيذ حارس الاعتماد.
أذونات سيئة على الملفات التنفيذية/البرامج النصية التي يتم تشغيلها بواسطة حساب مميز
تعد هذه إحدى الطرق الأكثر شيوعًا التي قد يستخدمها المهاجم للتصعيد إلى SYSTEM. يقوم المهاجم بالبحث عن المهام أو الخدمات المجدولة التي يتم تشغيلها بواسطة حساب مميز على هذا الكمبيوتر (أي النظام أو حتى مستخدم المجال). يقوم المهاجم بعد ذلك بفحص ملفات EXEs/البرامج النصية وملفات DLL المرتبطة بها لمعرفة ما إذا كان يتعين على المستخدم المملوك له كتابة أذونات.
يقوم المهاجم بعد ذلك بتبديل أو تعديل ملفات EXEs/Scripts أو DLL إلى شيء يمنحه بابًا خلفيًا لحساب النظام باستخدام أدوات مثل PowerUp.
نصيحة التخفيف:
قم بمسح ومراقبة أذونات الملفات على الملفات التنفيذية والبرامج النصية وملفات DLL التي تستخدمها خدماتك والمهام المجدولة.
تصحيحات الأمان المفقودة
منذ عام 2015، أكثر من 100 تم نشر مكافحة التطرف العنيف لنظام التشغيل Windows 10 سمح للمهاجم بتصعيد امتيازاته على جهاز الكمبيوتر. لا تنس تحديث برامج التشغيل أيضًا! أنت تعلم بالفعل، بالطبع، أن تصحيح أنظمتك أمر مهم، ولكنه دائمًا جيد مع التذكير.
2. تمرير التجزئة
تمرير التجزئة (PTH) هي تقنية شائعة يستخدمها المهاجمون بمجرد حصولهم على امتيازات المسؤول المحلي أو النظام. تم اكتشاف PTH بالفعل في عام 1997، ولكنه يعد عيبًا “حسب التصميم” في آلية مصادقة Windows NTLM.
لا يمنحك PTH كلمة المرور بنص واضح، ما يفعله هو أنه يعيد استخدام تجزئة كلمة المرور NTLM الخاصة بالمستخدم للمصادقة على أنظمة أخرى.
يمكن للمهاجم استخدام أدوات مثل ميميكاتز لاستخراج تجزئة NTLM من الذاكرة، الأمر الذي يتطلب عادةً أن يقوم مستخدم يتمتع بامتيازات أكبر من المستخدم المملوك بتسجيل الدخول إلى الأنظمة ليكون فعالاً. ولكن كيف يعرف المهاجمون أن المسؤول سيقوم بتسجيل الدخول إلى هذا الكمبيوتر؟ حسنًا، هذا سهل، فهم يتسببون في حدوث مشكلات بالجهاز وينتظرون الدعم لتسجيل الدخول.
شيء آخر مهم يجب الإشارة إليه هو ذلك يعمل Pass-The-Hash على حساب المسؤول المحلي! وهذا يعني أنه يمكن استخدام تجزئة حساب مسؤول الكمبيوتر (SID 500) لامتلاك جميع أجهزة الكمبيوتر الأخرى في المجال.
نصائح التخفيف:
3. المستخدم الذي لا يتمتع بالامتيازات ليس في الواقع محرومًا من الامتيازات
وهذا سيناريو شائع أيضًا — يتمتع المستخدم المملوك بالامتياز، لكنك لا تعرف ذلك (حتى الآن). يمكن للمهاجم فحص الشبكة والدليل النشط باستخدام أداة تسمى الكلب البوليسي للعثور على مسارات الهجوم التي يصعب اكتشافها للغاية في الحالات العادية.
يستخدم BloodHound قاعدة بيانات الرسم البياني تسمى Neo4j لاكتشاف العلاقات المخفية بين المستخدمين وأجهزة الكمبيوتر باستخدام نظرية الرسم البياني. ومعظم عمليات جمع البيانات التي يقوم بها يمكن أن يتم بواسطة مستخدم عادي. يمكنه أيضًا اكتشاف الإدارة المحلية والجلسات النشطة على أجهزة الكمبيوتر البعيدة.
ليس من غير المألوف أن يقوم مستخدم لا يتمتع بالامتيازات بكتابة أذونات كلمة المرور أو تغييرها في Active Directory على مستخدم لديه المزيد من الامتيازات، عادةً عن طريق الصدفة أو بسبب الكسل المطلق.
نصيحة التخفيف: قم بمسح بيئاتك بانتظام باستخدام BloodHound لاكتشاف العلاقات غير المقصودة.
4. مهاجمة المشرف
يكون المسؤولون أكثر عرضة للخطر من المستخدمين الآخرين، وليس من غير المألوف أن يتم استهدافهم أثناء الهجوم. عادةً لا يواجه المهاجم أي مشكلة في العثور على كلمات المرور والتصعيد مرة واحدة داخل الحساب غير المميز للمسؤول.
نصائح التخفيف:
- كن على علم بمحاولات التصيد الاحتيالي.
- تنفيذ أ نموذج مايكروسوفت للطبقات.
- تنفيذ MFA أو تسجيل الدخول بالبطاقة الذكية لجميع حسابات المسؤولين.
5. البحث عن نقاط الضعف
سيبدأ المهاجم في البحث عن البرامج الضعيفة على شبكتك إذا لم يتمكن من تصعيد الامتياز من خلال الطرق السابقة. يتم ذلك عادةً باستخدام أدوات مثل مهاجم أو ميتاسبلويت، وهي طريقة فعالة للتصعيد في البيئات التي تكون فيها أنظمة التصحيح مستعملة أو تكون الأنظمة غير مدعومة.
نصائح التخفيف:
- قم بإجراء تصحيح روتيني لجميع أنظمتك وليس لنظام التشغيل فقط.
- الخروج من الخدمة أو تقسيم الأنظمة القديمة.
الكلمات الختامية
يمكن أن يكون الأمان أمرًا صعبًا، لكنه يصبح أسهل كثيرًا إذا كنت أكثر وعيًا به وبكيفية عمله. تحتاج أيضًا إلى التفكير في الهجمات باعتبارها سلسلة من عمليات الاستغلال، وأن كل شيء في شبكتك متصل.
باستخدام بعض تقنيات التخفيف، يمكنك أن تصبح مقاومًا تمامًا للمهاجمين، لكن هذا ليس مضمونًا أبدًا. يدير معظم المهاجمين أعمالًا تجارية، وإذا وجدوا أن استهدافك صعب للغاية أو يستغرق وقتًا طويلاً، فسيختارون هدفًا أبسط.
يجب أن يكون الهدف هو جعل عائد الاستثمار (ROI) للمهاجمين منخفضًا قدر الإمكان، ويجب أن يكون من الصعب عليهم قدر الإمكان الارتقاء عبر شبكتك.
(العلامات للترجمة)سحابة(ر)مايكروسوفت