Интернетмагазин


 Повышение привилегий Эксплуатация неисправленных операционных систем



Download 18,66 Mb.
Pdf ko'rish
bet146/272
Sana25.02.2022
Hajmi18,66 Mb.
#290514
1   ...   142   143   144   145   146   147   148   149   ...   272
Bog'liq
Диогенес Ю., Озкайя Э. - Кибербезопасность. Стратегии атак и обороны - 2020

162 Повышение привилегий
Эксплуатация неисправленных операционных систем 
Windows, как и многие другие операционные системы, следит за тем, как ха-
керы могут скомпрометировать ее. Она продолжает выпускать патчи, чтобы 
исправить это. Однако некоторые сетевые администраторы не могут своевре-
менно устанавливать эти исправления. Кто-то вообще отказывается от исправ-
лений. Таким образом, высока вероятность того, что злоумышленник найдет 
компьютеры, на которых отсутствуют патчи. Хакеры используют инструменты 
сканирования, чтобы узнать информацию об устройствах в сети и идентифи-
цировать те, которые не были исправлены. Инструменты, которые могут быть 
использованы для этого, мы обсуждали в главе 4 «Разведка и сбор данных». 
Два наиболее часто используемых – Nessus и Nmap. После идентификации 
неисправленных компьютеров хакеры могут искать эксплойты из Kali Linux, 
которые можно использовать для эксплуатации. Searchsploit будет содержать 
соответствующие эксплойты, которые могут быть использованы для компью-
теров с отсутствующими патчами. Как только эксплойты будут обнаружены, 
злоумышленник скомпрометирует систему. Затем он использует PowerUp, что-
бы обойти управление привилегиями Windows, и обновит пользователя на уяз-
вимом компьютере до администратора.
Если злоумышленник не хочет использовать инструменты сканирования 
для проверки текущего состояния системы, включая исправления, можно вос-
пользоваться инструментом командной строки WMI под названием wmic для 
получения списка установленных обновлений, как показано на рис. 8.1.
Рис. 8.1
Еще один вариант – использовать команду PowerShell get-hotix (рис. 8.2).
Рис. 8.2

Выполнение повышения привилегий 
 
163
Манипулирование маркерами доступа 
В Windows все процессы запускаются определенным пользователем, и си-
стема знает права и привилегии, которыми обладает пользователь. Windows 
обычно использует маркеры доступа для определения владельцев всех за-
пущенных процессов. Этот метод повышения привилегий используется для 
того, чтобы процессы выглядели так, как если бы они были запущены другим 
пользователем, а не тем, кто их фактически запустил. Способ, которым Win-
dows управляет правами администратора, подвержен атакам. Операционная 
система регистрирует пользователей с правами администратора как обычных 
пользователей, но затем выполняет их процессы с правами администратора. 
Windows использует команду run as administrator для выполнения процессов 
с правами администратора. Поэтому, если злоумышленник может обмануть 
систему, заставив ее поверить, что процессы запускаются администратором, 
эти процессы будут работать, не пересекаясь с правами администратора пол-
ного уровня.
Манипулирование маркерами доступа происходит, когда злоумышленники 
ловко копируют маркеры из существующих процессов, используя встроенные 
функции Windows API. Они специально нацелены на процессы, которые запус-
каются администраторами на компьютере. Когда они вставляют маркеры до-
ступа администратора в Windows при запуске нового процесса, она запускает 
процессы с правами администратора. Манипулирование маркерами доступа 
также может происходить, когда хакерам известны учетные данные адми-
нистратора. Они могут быть украдены при различных типах атак и затем ис-
пользованы для манипулирования маркерами доступа. В Windows есть опция 
запуска приложения от имени администратора. Для этого Windows запросит 
у пользователя ввод учетных данных администратора и запустит программу/
процесс с правами администратора.
Наконец, манипулирование маркерами также может происходить, когда 
злоумышленник использует украденные маркеры для аутентификации про-
цессов удаленной системы, но при условии, что у этих маркеров есть соответ-
ствующие права доступа в удаленной системе.
Манипулирование маркерами доступа широко используется в Metasploit, 
речь о котором шла в главе 5 «Компрометация системы». В состав Metasploit 
входит инструмент Meterpreter, который может осуществлять кражу марке-
ров и использовать украденные маркеры для запуска процессов с повышен-
ными привилегиями. В Metasploit также есть инструмент Cobalt Strike, кото-
рый использует преимущества кражи маркеров. Такие инструменты способны 
украсть и создать собственные маркеры с правами администратора. Суть этого 
метода повышения привилегий заключается в том, что существует заметная 
тенденция, когда злоумышленники пользуются преимуществами легитимной 
системы. Можно сказать, что это форма обхода обороны со стороны злоумыш-
ленника.


Download 18,66 Mb.

Do'stlaringiz bilan baham:
1   ...   142   143   144   145   146   147   148   149   ...   272



Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling
kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha

yuklab olish