+7 495 223 35 33 (Москва) | 8 800 550 52 23 (Бесплатно по РФ)

01.11.2021
Как благодаря этичному взлому найти уязвимости в безопасности конечных устройств

ГлавнаяБлог — Как благодаря этичному взлому найти уязвимости в безопасности конечных устройств

Как благодаря этичному взлому найти уязвимости в безопасности конечных устройств

Если вы думаете, что понимаете свою стратегию обеспечения безопасности конечных устройств, действительно ли вы уверены, что она поможет эффективно отразить целевую атаку? Многие компании нанимают этичных хакеров или привлекают внешние «красные команды» для тестирования средств защиты и выявления потенциальных уязвимостей, связанных с физическим доступом, оборудованием, программным обеспечением и людьми. Многоуровневая имитация атак может выявить проблемы до того, как они будут обнаружены злонамеренным хакером или отмечены в ходе аудита безопасности или соответствия нормативным требованиям.

Раймондс Лиепиньш, один из этических хакеров Thycotic, продемонстрировал, как злоумышленник может использовать несколько простых инструментов для взлома и последующего использования конечного устройства пользователя для атак. Всего за 15 минут он смог повысить привилегии и получить доступ к контроллеру домена и в конечном итоге ко всей ИТ-среде организации.

Вы можете проверить свою защиту, смоделировав аналогичную атаку на одно из ваших конечных устройств.

Шаг 1: доступ

Действуя как этичный хакер, Раймондс через Даркнет купил доступ к внутренней системе компании всего за несколько сотен долларов. В качестве альтернативы он мог получить доступ, используя утечку учетных данных, фишинг или другие стратегии социальной инженерии.

Шаг 2: разведка

Как только Раймондс получил доступ к внутренней системе компании, он провел масштабную разведку, включая сканирование сети с помощью Nmap. Раймондс смог перечислить сети, службы, каталоги на хостах, уязвимости и привилегии. Используя элементы управления на основе командной строки, он выполнил поиск открытых портов, включая веб-порты, порты SMB, используемые для общих сетевых ресурсов, и порты удаленного рабочего стола для управления рабочими станциями.

Шаг 3: проверка наличия наиболее доступных уязвимостей

Как показал Раймондс, злоумышленник сначала надеется найти уязвимости для портов SMB, таких как SMBGhost или Wannacry. Если вы хорошо поработали над устранением этих уязвимостей SMB и укрепили защиту своей системы, злоумышленнику придется продолжать искать доступные возможности.

Шаг 4: ориентирование на слабые приложения

В сценарии атаки Раймондс нацелился на DotNetNuke как на пример уязвимого приложения. Пользователь целевого конечного устройства — разработчик, работающий над CMS, — имел доступ к более старой версии приложения, в которой присутствовали распространенные эксплойты. Раймондс понял, что приложение уязвимо для удаленного выполнения кода при десериализации файлов cookie, и смог загрузить эксплойт в Metasploit, среду с открытым исходным кодом для проведения тестов на проникновение. После этого он мог выполнять любые действия на конечном устройстве пользователя, включая доступ к камере, регистрацию нажатий клавиш и т. д.

Шаг 5: повышение привилегий

Этичный хакер узнал, что пользователь конечного устройства имеет привилегию Seimpersonate, которая используется по умолчанию для любых учетных записей сетевых служб и учетных записей пула приложений Windows IIS. Если вы не отключите эту настройку по умолчанию, хакер может практически мгновенно повысить привилегии от обычного до системного пользователя. Затем Раймондс использовал инструмент эксплуатации уязвимостей Rogue Potato (реинкарнация Juicy Potato) для запуска второго сеанса с привилегиями системного уровня на конечном устройстве. В результате он мог действовать как часть операционной системы, управлять памятью и выполнять другие системные функции без ведома пользователя.

Шаг 6: передача хеша

Раймондс занялся поиском хешей, оставленных высокоуровневыми пользователями, которые входили в систему на конечном устройстве раньше. Например, администратор домена мог войти на рабочую станцию ​​пользователя для выполнения административных задач и при этом оставить хеш NTLM. С помощью этого хеша можно выполнить атаку типа Pass-the-Hash («передай хеш») для получения доступа к системам в качестве пользователя с высокими привилегиями, не зная фактического пароля пользователя.

Шаг 7: извлечение привилегированных учетных данных

Наконец, Раймондс смог извлечь необходимые учетные данные с помощью Mimikatz. Затем он получил доступ к контроллеру и ресурсам домена Windows, а также к большему количеству рабочих станций и других серверов в домене. Он мог управлять системами, извлекать конфиденциальную информацию и, по сути, делать в домене все, что хотел.

Защита — лучшее нападение

Теперь, когда вы достаточно напуганы сценарием взлома конечного устройства, давайте поговорим о том, как его можно было предотвратить с помощью решения для управления привилегиями, такого как Thycotic Privilege Manager.

Прежде всего необходимо удалить права локального администратора с конечных устройств бизнес-пользователей. В соответствии с политикой наименьших привилегий пользователи должны иметь только тот уровень доступа, который им необходим для работы. Кроме того, вы никогда не должны позволять пользователям, имеющим права администратора домена, использовать их при работе на локальном конечном устройстве.

Управление приложениями на основе политик также имеет важное значение для предотвращения атак на конечные устройства, подобных той, которую мы рассмотрели выше. Используя детализированные политики решения Privilege Managers, вы можете блокировать или запрещать определенные действия, которые пользователь может попытаться выполнить на конечном устройстве, включая приложения, исполняемые файлы и установщики. В этом случае и Rogue Potato, и Mimikatz могли быть добавлены в политику и заблокированы.

Даже если хакер использует другое вредоносное приложение, о котором вы не знаете, политики управления приложениями позволили бы вам поместить файл в карантин и изучить его, прежде чем разрешить пользователям его запускать.

Кроме того, с помощью Privilege Manager можно заблокировать действия на уровне командной строки. Команды поиска, используемые в этом сценарии атаки на основе Nmap, могли быть заблокированы, поскольку они запускались из командной строки в command.exe (также их могли бы выполнять из PowerShell).

А что насчет оставленного хеша?

Если бы хакер действительно нашел хеш, атака Pass-the-Hash могла быть заблокирована PAM-инструментом, например Thycotic Secret Server, который автоматически менял бы пароль администратора домена. Следовательно, даже если бы у злоумышленника был старый хеш, он не соответствовал бы новому паролю, поэтому в доступе ему было бы отказано.

Помните, что атаки Pass-the-Hash не помогут добиться успеха, если на конечных устройствах не используются привилегированные учетные записи. Это возвращает нас к фундаментальной практике применения политики наименьших привилегий с помощью Privilege Manager.

Попробуйте сами!
Полная версия Thycotic Secret Server
на 30 дней

На время тестирования предоставляется техническая поддержка по телефону и электронной почте на русском языке

Мы поможем вам установить и настроить Secret Server

Москва, Россия
8 495 223 35 33
8 800 550 52 23

London, UK
44 2036 084323

Washington D.C.
1 202 802 9399