Loader

Как злоумышленники используют повышение привилегий в Windows

Эскалация привилегий – это процесс, с помощью которого пользователь с ограниченным доступом к ИТ-системам может увеличить возможности доступа. Для доверенных пользователей эскалация привилегий позволяет расширить доступ на ограниченное время для выполнения определенных задач. Например, пользователям может понадобиться доступ для устранения технических неполадок, выполнения квартального финансового отчета или установки программы.

Повышение привилегий также является одним из наиболее распространенных методов, используемых злоумышленниками для обнаружения и утечки конфиденциальных ценных данных.

С точки зрения хакеров, повышение привилегий – это эскалация от начального доступа, который обычно является доступом стандартного пользователя или учетной записи приложения, до доступа администратора, пользователя root или даже полного доступа к системе. При доступе NT Authority\System злоумышленники имеют полный доступ к одной системе. С доступом администратора домена они получают доступ ко всей сети.

Злоумышленник может использовать различные стратегии для эскалации привилегий.

Допустим, злоумышленник успешно похищает пароль пользователя и получает доступ к его учетной записи. Этот пароль может разрешать определенные привилегии, например, он может разблокировать только данные, хранящиеся локально на ноутбуке. Как правило злоумышленники хотят большего. Они ищут больше конфиденциальных данных, которые можно перепродать в dark web. Они ищут доступ к важным для бизнеса системам, чтобы внедрить вымогательское ПО, угрожают отключением и требуют финансовые выплаты.

Для достижения этих целей злоумышленник использует различные стратегии эскалации привилегий:

· Вертикальная эскалация привилегий — это когда злоумышленник компрометирует учетную запись пользователя, имеющего ограниченные полномочия в системе. Затем они ищут способы повысить свои привилегии, используя ту же учетную запись. Например, они могут добавить взломанную учетную запись в группу локального администратора.

· Горизонтальная эскалация привилегий, более распространенный метод, – это когда злоумышленник получает доступ к другим учетным данным в сети с более высокими привилегиями, чем те, которые использовались для закрепления. С привилегиями более высокого уровня злоумышленник может свободно перемещаться по сети без обнаружения.

Примеры, иллюстрирующие разницу между вертикальной и горизонтальной эскалацией привилегий.

В этом блоге вы узнаете, как злоумышленник повышает привилегии в системах Windows, используя пошаговый процесс. Рассматривая эскалацию привилегий через призму хакера, можно увидеть, как злоумышленники используют уязвимости безопасности для достижения своих целей. Кроме того, вы сможете определить возможности для повышения уровня управления привилегиями Windows, чтобы снизить риск кибератаки. Вот пример атаки с повышением привилегий с использованием эксплойта EternalBlue для повышения привилегий:

Пример, когда злоумышленник взломал систему с NT Authority\System

Эскалация привилегированного доступа

Прежде чем мы начнем разбираться с механикой атак по повышению привилегий в Windows, нужно понимать для чего используются привилегированные учетные записи, различные типы привилегий в системах Windows и как они работают. Эта основа поможет вам понять, какие стратегии используют киберпреступники при атаках на системы Windows, чтобы вы знали, на чем сосредоточить свою защиту.

Привилегированные учетные записи лежат в основе любого бизнеса. Они обеспечивают IT-команде возможность управления системами, инфраструктурой и программным обеспечением организации, а сотрудникам – доступ к данным, позволяющим принимать важные бизнес-решения.

Привилегированные учетные записи отличаются от стандартных учетных записей пользователей.

Привилегированные учетные записи обеспечивают административный или специализированный уровень доступа на основе более высоких уровней полномочий. Обычно общий привилегированный доступ используется отделом или группой пользователей для доступа к приложениям или системам. Привилегированная учетная запись может быть с привязкой к определенному человеку или обезличенной. Некоторые типы обезличенных учетных записей с высокими привилегиями – это учетные записи приложений, используемые для запуска служб, требующих определенных разрешений.

Привилегированные учетные записи позволяют пользователям вносить изменения в конфигурацию системы и программного обеспечения, выполнять административные задачи, создавать и изменять учетные записи, развертывать программное обеспечение, создавать резервные копии данных, устанавливать исправления безопасности, разрешать интерактивный вход в систему и, конечно, получать доступ к привилегированным данным. Все эти действия имеют решающее значение для обеспечения функционирования бизнеса путем поддержания работоспособности систем и программного обеспечения.

Как создаются и делегируются привилегии в системах Windows
Привилегия в операционных системах Windows – это полномочия, делегированные учетной записи пользователя или группе, которые позволяют получить доступ к системным ресурсам, объектам и задачам. Привилегии могут быть локальными или доменными, что определяет объем доступа, который имеет учетная запись пользователя.

В системах Windows список учетных записей локальных пользователей можно найти в разделе «Локальные пользователи и группы» в меню управления компьютером. «Администратор» и «Гость» – это учетные записи по умолчанию.

Управление компьютером Локальные пользователи и группы

Учетная запись локального пользователя может быть назначена членом группы, что определяет ее привилегии.

Свойства учетной записи пользователя, показывающие, что он является членом группы пользователей.

Группы по умолчанию в системе Windows зависят от роли операционной системы и включенных функций. Группы, как правило, ориентированы на роли или задачи, которые пользователь будет выполнять, исходя из своей рабочей функции.

К сожалению, многие организации полагаются на готовую ролевую модель. Не зная, какую роль назначить пользователям, большинство делегирует привилегии локального администратора. Это приводит к появлению большого количества слишком привилегированных пользователей, которых злоумышленники сразу же находят и используют в своих целях.

Каждая система Windows имеет свою собственную базу данных Security Account Manager, известную как файл SAM, в которой хранятся учетные записи пользователей и дескрипторы безопасности на локальном компьютере. Когда пользователь входит в систему, он получает доступ к маркеру, который содержит привилегии. Когда они выполняют какое-либо действие в системе, проверяется, разрешают ли эти привилегии данное действие.

Несколько групп по умолчанию, которые определяют привилегии пользователей.

Обычно, когда у пользователя нет прав на объект в Windows, ему предлагается ввести другую учетную запись пользователя с необходимыми привилегиями. Это широко известно как User Account Control (UAC) и позволяет пользователю выполнять большинство задач в качестве не администратора.

Контроль учетных записей пользователей, требует повышенных привилегий для запуска приложения cmd.

После назначения и настройки пользователей и групп определяются параметры безопасности и назначаются привилегии каждому объекту, такому как файловые системы, реестры, службы и системные ресурсы. В иерархии каждый объект может наследовать разрешения и привилегии от своего от своего родительского объекта.

Общие параметры безопасности aka ACL для объекта в Windows.

Пример разрешений aka ACL в реестре.

Идентификаторы безопасности Windows (SID)
В Windows SID – это то, как операционная система обращается к учетным записям и процессам, вместо того чтобы использовать их имена.

Каждой учетной записи, группе и процессу присваивается уникальный SID (Security Identifier), представляющий контекст безопасности, в котором он работает. Когда пользователь входит в систему или выполняет процесс, SID присваивается маркер доступа, который содержит все, что нужно системе для определения контекста безопасности, разрешений, привилегий, групп и доступа.

Чтобы проверить SID учетной записи пользователя, можно воспользоваться командной утилитой WMIC (Windows Management Instrumentation Command-Line Utility). Используйте командную строку: wmic useraccount get name,sid.

Пример идентификаторов учетных записей пользователей.

Чтобы узнать больше о SID, рекомендуем прочитать полную документацию Microsoft, которую можно найти здесь:

Документация по идентификаторам безопасности Microsoft

Вы заметили проблемы с безопасностью?
Было рассмотрены способы создания и назначения привилегий в Windows. Это «счастливый путь», в котором все идет по плану. Но даже если вы выполнили все описанные выше шаги по управлению привилегиями, вы оставляете себя открытыми для атаки повышения привилегий.

Далее будет рассмотрено » несчастливый путь». Это тот случай, когда киберзлоумышленник нацеливается на привилегированные учетные записи Windows и успешно использует дыры в системе безопасности.

Атаки с повышением привилегий и методы их использования
Для хакеров повышение привилегий – это искусство эскалации от начального доступа (как правило, стандартной учетной записи пользователя или приложения) до администратора, root или даже полного доступа к системе, в Windows называемого NT Authority\System.

Как работают атаки с повышением привилегий?
Чтобы атаковать привилегированные учетные записи, злоумышленники используют общие шаги и проверенные методы для выявления неправильной конфигурации системы, уязвимостей, сверхпривилегированных пользователей и слабых учетных данных.

Сначала они исследуют системы, чтобы определить путь атаки, который не привлечет внимание службы безопасности к тому, что происходит что-то вредоносное. Они ищут привилегированные учетные записи, которые остаются неуправляемыми и неконтролируемыми.

К числу наиболее распространенных привилегированных учетных записей, за которыми охотятся злоумышленники, относятся:
· «Короли» учетных записей «Учетные записи администраторов домена»;
· Сложные и пугающие «Учетные записи служб домена»;
· Забытые «Учетные записи локального администратора»;
· Помощь клиенту » Экстренные учетные записи»;
· Скрытые и вечные «Сервисные аккаунты»;
· Повышенные «Учетные записи приложений»;
· Тихие, но смертоносные «Привилегированные учетные записи пользователей данных».

Подробнее об этих типах учетных записей вы можете узнать в блоге: 7 опасных привилегированных учетных записей, которые вы ДОЛЖНЫ обнаружить, управлять и защищать.

Пошаговый путь к эскалации привилегий

Пример шагов, которые предпримет злоумышленник.

Предположим, что злоумышленник получил начальную точку опоры (плацдарм) в системе Windows. Начальный плацдарм может означать разные вещи, такие как обратная оболочка (она же без credentials), доступ к приложению, запущенному в системе, или учетные данные с ограниченными привилегиями, например, стандартной учетной записи пользователя. Каждый тип плацдарма позволяет злоумышленнику начать путь атаки с повышением привилегий.

При использовании эксплойта с повышением привилегий злоумышленник обычно стремится узнать как можно больше об ИТ-среде, чтобы определить путь атаки. Для этого проводится разведка и перебор взломанных систем.

Они выполняют определенный тип перебора системы, используя команды, подобные приведенным ниже:

Operator Handbook от NETMUX – это замечательная книга, которая включает в себя множество команд и советов по проведению перебора. В этой книге собрана потрясающая коллекция шагов по перебору системы.

Ниже приведен пример этих команд перебора в действии:

Ручной перебор

Примеры методов повышения привилегий
При выполнении перебора злоумышленники ищут уязвимости безопасности, позволяющие использовать методы повышения привилегий, такие как:

1. Небезопасные разрешения службы
Это происходит, когда служба работает под привилегиями SYSTEM, но пользователь имеет разрешения на изменение исполняемого binpath на такой, который может создать обратный shell.

2. Пути обслуживания без кавычек
Удивительно, но, хотя это известная методика, используемая уже много лет, до сих пор часто можно встретить различное множество служб. В сочетании со слабыми разрешениями на папки это позволяет злоумышленнику поместить исполняемый файл в родительскую папку, где Windows будет искать его первым для выполнения. Например, у вас может быть путь к службе C:\Program Files\Vendor\binary.exe.

Когда путь не заключен в кавычки, а пользователь имеет разрешения на размещение объектов в пути C:\Program Files\, Windows сначала попытается выполнить program.exe. Если злоумышленник сможет поместить двоичный файл с именем program.exe в путь, он сможет повысить привилегии до учетной записи, под которой запущена эта служба.

3. Слабые разрешения реестра
Как и в примере с небезопасными разрешениями служб, если злоумышленник может изменить конфигурацию реестра, он может изменить путь в конфигурациях для выполнения выбранного им двоичного файла. Это может создать обратную оболочку или повысить привилегии в системе.

4. Небезопасные исполняемые файлы служб
Если злоумышленник может просто заменить оригинальный исполняемый файл на свой собственный, он может получить повышение привилегий учетной записи, под которой запущена эта служба.

5. Пароли
Я не могу сказать, сколько раз я находил пароли привилегированных пользователей в текстовом файле на рабочем столе, в браузере или в конфигурационном файле. Даже сегодня, когда многие знают, что пароли – это главная цель атак, пароли по-прежнему принято хранить в легкодоступных местах. Многие люди создают слабые, легко взламываемые пароли, используют их повторно и обмениваются ими.

Злоумышленники могут быстро найти сохраненные пароли, используя такие распространенные методы, как:

Поиск в реестре с помощью запроса: reg query HKLM /f password /t REG_SZ /s

Поиск в файловой системе в файлах xml, ini и txt строки password: findstr /si password *.xml *.ini *.txt

Поиск текстового файла на рабочем столе с ярлыком «пароли» или «важные вещи».

Определение сохраненных паролей в интернет-браузере:

6. Чрезмерно привилегированные пользователи
Например, стандартные бизнес-пользователи могут иметь права локального администратора на своих персональных рабочих станциях.
Злоумышленники могут использовать эти права локального администратора для повышения привилегий до Full Domain с помощью таких инструментов, как mimikatz и изменения в конфигурации ОС. Вы можете увидеть, как развивается эта стратегия эскалации полномочий, в видеоролике.

7. Диспетчер учетных записей безопасности (SAM)
Windows хранит учетные данные в базе данных Security Account Management (SAM) в зашифрованном виде, называемом хэшем. Это однонаправленный криптографический алгоритм, что означает, что вам нужно знать исходный пароль, чтобы воссоздать хэш. Файлы SAM и SYSTEM заблокированы во время работы Windows, но злоумышленник может найти резервную копию в каталоге восстановления Windows.

Получение доступа к базе данных SYSTEM и SAM может позволить злоумышленнику извлечь хэши. Если исходный пароль был слабым, многократно используемым, то вполне вероятно, что злоумышленник сможет его взломать. Вот пример взлома хэша с помощью Hashcat.

Пример» Использование Hashcat для взлома хэшей.

8. Передача хэша
Если злоумышленник не может взломать пароль по хэшу, он все равно сможет перемещаться по сети, используя только хэш. Такая техника называется pass-the-hash. Ниже приведен пример повышения привилегий с использованием pass-the-hash для латерального перемещения:

9. Небезопасные приложения графического интерфейса пользователя
Например, недавно обнаруженная уязвимость в программном обеспечении мыши Razer позволила пользователю, подключившему устройство, повысить привилегии до администратора Windows 10. После подключения мыши запускалось обновление Windows, загружающее Razer Installer как SYSTEM. Затем пользователь мог использовать проводник для запуска окна PowerShell с повышенными правами. Ниже приведен пример повышения привилегий с помощью небезопасных приложений GUI.

10. Уязвимости ОС или эксплойты ядра
Хотя эти типы атак с эскалацией менее распространены, иногда злоумышленники месяцами ждут момента раскрытия уязвимости, имея доступ к низкопривилегированному пользователю. Недавний пример, известный как Print Nightmare (CVE 2021 34527) – это уязвимость в Print Spooler, которая позволяла злоумышленнику выполнить удаленное выполнение кода и повышение привилегий.

Ниже приведен пример повышения привилегий с использованием Print Nightmare для создания пользователя Admin в системе:

Пример: Эксплуатация Print Nightmare CVE 2021 34527

Как автоматизировать эскалацию привилегий
Чтобы избежать обнаружения, хакер стремится повысить привилегии как можно быстрее. Поэтому они могут использовать инструменты для автоматизации процесса эскалации привилегий, как показано в примерах ниже:

BloodHound
BloodHound – это одностраничное веб-приложение на Javascript, построенное на базе Linkurious, скомпилированное с помощью Electron, с базой данных Neo4j, получаемой с помощью сборщика данных на C#. Оно использует теорию графов для выявления скрытых и часто непредусмотренных связей в среде Active Directory.

Злоумышленники могут использовать BloodHound для легкого определения очень сложных путей атаки, которые иначе невозможно было бы найти. Защитники могут использовать BloodHound для выявления и устранения таких же путей. BloodHound могут использовать как «red team» так и «blue team» для более глубокого понимания отношений привилегий в среде Active Directory. Ниже приведен пример атаки с повышением привилегий Active Directory, в которой Bloodhound использовался для поиска пути атаки к повышению привилегий.

Пример Bloodhound от Hackthebox

Windows Exploit Suggester-Next Generation (WES-NG)
WES-NG – это инструмент, основанный на результатах работы утилиты systeminfo операционной системы Windows. Он предоставляет список уязвимостей, к которым уязвима ОС, включая любые эксплойты для этих уязвимостей. Поддерживаются все ОС Windows от Windows XP до Windows 10, включая их аналоги Windows Server.

WES-NG работает под управлением Windows 10 Системная информация.

Удивительные сценарии повышения привилегий Windows
Использование winPEAS может помочь администраторам искать способы предотвращения атак повышения привилегий, оценивая системы на предмет возможных неправильных конфигураций или уязвимостей. WinPEAS – это сборник локальных сценариев повышения привилегий Windows для проверки кэшированных учетных данных, учетных записей пользователей, элементов управления доступом, важных файлов, разрешений реестра, учетных записей служб, уровней исправлений и многого другого. WinPEAS полезен тем, что содержит подсказки о том, на чем следует сосредоточить свое внимание.

WinPEAS работает на конечной точке Windows 10

Недавно Карлос Полоп, автор книг о winPEAS и Hacktricks.xyz, принял участие в подкасте 401 Access Denied, чтобы обсудить winPEAS и эскалацию привилегий. Обязательно ознакомьтесь с подкастом и книгой Карлоса Hacktricks, поскольку в ней подробно описаны многие приемы, использованные в этом блоге.


PowerUp
PowerUp – это коллекция сценариев PowerShell для поиска распространенных векторов повышения привилегий Windows, которые основаны на неправильной конфигурации. Запуск проверок Invoke-All позволяет найти общие неправильные конфигурации на конечных точках Windows.

PowerUp, запущенный на конечной точке Windows

Seatbelt
Seatbelt – это проект C#, который выполняет ориентированные на безопасность «проверки безопасности» хоста, актуальные как с точки зрения наступательной, так и оборонительной безопасности. Проще говоря, Seatbelt – это инструмент для перечисления информации, которая может привести к повышению привилегий.

Seatbelt работает на конечной точке Windows

Пути атак с повышением привилегий с помощью фреймворка Mitre ATT&CK
Mitre ATT&CK framework – это потрясающая база знаний о распространенных тактиках и методах, используемых в реальных атаках. Знание этих методов и способов снижения риска имеет решающее значение для обеспечения устойчивости вашей организации к кибератакам.

Mitre ATT&CK Framework Повышение привилегий

Лучшие советы по затруднению эскалации привилегий для злоумышленников
Теперь, когда было рассмотрено распространенные стратегии атак, которые киберпреступники используют для повышения привилегий, давайте рассмотрим стратегии защиты, которые вы можете использовать для защиты своей организации.

Опасно полагать, что кто-то может окончательно предотвратить атаки с повышением привилегий.

Во-первых, давайте разберемся со словом «предотвратить». Опасно полагать, что кто-то может окончательно предотвратить атаки с повышением привилегий. На самом деле, предположение о том, что можно что-то предотвратить, может привести к ложному чувству безопасности. Напротив, можно снизить риски, усложнить задачу злоумышленникам и повысить видимость, чтобы остановить распространение эксплойтов.

Поэтому важно максимально укрепить свои системы Windows, заставляя злоумышленников использовать более продвинутые методы. Чем раньше вы получите предупреждающие сигналы, тем больше у вас шансов предотвратить катастрофу.

Вот несколько лучших практик, которые помогут злоумышленникам усложнить использование средств повышения привилегий:

1. Переместите пароли в фоновый режим с помощью корпоративного менеджера паролей или решения Privileged Access Management (PAM)
Помогите пользователям избежать принятия неверных решений в области безопасности, оказав им помощь в перемещении паролей в безопасные хранилища, чтобы злоумышленники не смогли легко найти их на этапе перебора. Надежный менеджер паролей или решение PAM поможет избежать того, чтобы пароли оставались на рабочем столе открытым текстом, были скрыты в конфигурационных файлах или хранились в незащищенных браузерах.

С помощью решения PAM вы можете обеспечить всем службам предоставленную учетную запись с правильными элементами управления безопасностью, включая сложные пароли, которые часто меняются. Предоставление привилегий в инфраструктуре должно быть гибким.
Узнайте больше в нашем техническом обзоре: Невидимый PAM: Баланс между производительностью и безопасностью.

2. Удалите привилегии локального администратора и применяйте принцип наименьших привилегий
Все слышали о Zero Trust. Но как применить эти стратегии на практике? Лучше всего начать с перехода к непостоянным привилегиям или наименьшим постоянным привилегиям, что означает, что пользователь или учетная запись должны иметь только достаточные привилегии для выполнения поставленной перед ними задачи или действия. Это уменьшает возможность использования нескольких описанных выше путей повышения привилегий, таких как небезопасные службы, реестр и пути к каталогам.

3. Внедряйте MFA повсеместно
Пароли – одна из самых распространенных целей, поэтому не стоит оставлять их единственным средством контроля безопасности критически важных систем, приложений или привилегий.

Напротив, обязательно добавьте такие средства контроля безопасности, как многофакторная аутентификация, рабочие процессы доступа и разрешения, чтобы гарантировать, что только авторизованные пользователи смогут использовать привилегии, даже если злоумышленник скомпрометирует пароль. Необходимо создать запрос MFA не только при входе в систему, но и при горизонтальном и вертикальном повышении привилегий

4. Внедрение контроля приложений
Ограничьте возможность запуска приложений и сценариев, которые могут быть использованы для перебора или использования привилегий. Списки одобрения контролируют, какие приложения и сценарии могут выполняться. Списки запретов контролируют, какие известные вредоносные приложения и сценарии блокируются или требуют дополнительного аудита.

5. Исправления и обновления систем и приложений
Это не 100% защита, но она определенно усложняет цель злоумышленника.

6. Аудит и регистрация всех случаев использования доступа к привилегиям
Обязательно отслеживайте использование привилегий на предмет злоупотреблений и подозрительной активности. Установите оповещения, чтобы обеспечить видимость и возможность расследования в случае возникновения подозрительных действий. Если будет использован эксплойт с повышением привилегий, вы сможете провести реагирование на инцидент и определить первопричину атаки, чтобы предотвратить ее повторение.

Ищете дополнительные советы по защите от атак с повышением привилегий?

Было рассмотрено базовое объяснение привилегий в Windows и основные методы и средства контроля безопасности для борьбы с атаками повышения привилегий. Защита от повышения привилегий становится более сложной, когда мы начинаем рассматривать Active Directory, облачные среды и систему единого входа.

Если вы ищете более подробную информацию о методах эскалации привилегий в Active Directory, то рекомендуем прочитать технический документ «Безопасность и усиление Active Directory: Руководство этического хакера по снижению рисков AD».

По вопросам проведения индивидуальной демонстрации, пилотного тестирования решений Delinea и организации партнерских тренингов обращайтесь, пожалуйста, к нашей команде в Вашей стране:

Украина, Грузия, Арменияfast@oberig-it.com, +38 073 168 08 65.
Казахстанinfo.kz@oberig-it.com, +7 775 395 0803.
Узбекистан, Кыргызстан, Таджикистан, Туркменистанinfo.uz@oberig-it.com, +99897 746 83 40.
Молдова, Румынияinfo.md@oberig-it.com, +373 686 76535.
Азербайджанinfo.az@oberig-it.com, +994 50 6826105.

Источник: https://bit.ly/3S7FJqD