Повышение привилегий — это метод, который злоумышленники используют для расширения доступа к системам и данным, доступ к которым у них нет. Часто они начинают свой путь с кражи первоначального набора учетных данных или каким-либо образом подменяют приложение или сеть, чтобы им вообще не приходилось использовать пароль. Затем они продвигаются вперед или вверх, повышая свои привилегии, чтобы получить доступ к более конфиденциальной информации.
Иногда субъектом угрозы может быть злоумышленник внутри организации, что облегчает ему повышение уже существующих привилегий. В этом руководстве по атакам с целью повышения привилегий рассматриваются два основных типа: способы, которые используют злоумышленники, а также методы обнаружения и предотвращения.
Как работают два типа повышения привилегий
Двумя основными формами повышения привилегий являются вертикальная и горизонтальная. Оба требуют, чтобы злоумышленники украли учетные данные или выполнили какой-либо другой вид атаки, чтобы получить доступ к привилегированной учетной записи.
Вертикальное Повышение Привилегий
Вертикальное повышение привилегий включает в себя переход злоумышленника с учетной записи более низкого уровня на учетную запись более высокого уровня. Например, злоумышленник может перейти от младшей учетной записи продаж с разрешениями на просмотр к учетной записи администратора платформы управления взаимоотношениями с клиентами (CRM).
Горизонтальное Повышение Привилегий
Горизонтальное повышение привилегий предполагает переход между одинаковыми уровнями разрешений для входа в другую или неавторизованную учетную запись. Хотя злоумышленник мог получить доступ к учетной записи с тем же уровнем разрешений, он может перейти к другой учетной записи, для которой он не авторизован.
Например, сотрудник компании может быть злонамеренным инсайдером, планирующим украсть информацию компании. Если у них есть доступ к учетной записи администратора управления проектами, но нет доступа к учетной записи ИТ-администратора, они могут украсть учетные данные своего коллеги, чтобы войти в учетную запись ИТ и украсть данные.
7 способов получить доступ к угрозам
Следующие векторы атак различаются по простоте использования, но все они выявляют слабые места корпоративных ИТ-систем и талант продвинутых злоумышленников.
Кража Учетных Данных
Независимо от того, доступны ли они открыто, например, через открытый текст, или нет, злоумышленники часто полагаются на кражу учетных данных для повышения своих привилегий. Это можно сделать с помощью различных атак, таких как целевой фишинг , и может потребовать от злоумышленника украсть несколько наборов учетных данных, прежде чем он получит необходимую информацию.
Уязвимости В Программном Обеспечении
Неисправленные уязвимости, особенно нулевого дня, о которых знают злоумышленники, — это способ получить доступ к сетям, компьютерным системам и потенциально привилегированным учетным записям вашей компании. Известные бэкдоры представляют собой угрозу; некоторые позволяют злоумышленникам проникнуть в систему без явной сигнатуры навязчивой угрозы.
Внедрение Процесса
Когда злоумышленники внедряют вредоносный код в стандартный вычислительный процесс во время его выполнения, они маскируют вредоносное ПО. Труднее обнаружить вредоносный код из законного кода, если он скрыт легитимным процессом. Это позволяет вредоносному ПО дольше оставаться незамеченным.
Атаки С Помощью Липких Клавиш
Программы Windows имеют специальные возможности, которые требуют не полного входа в систему, а набора нажатий клавиш. Если злоумышленник использует нажатия клавиш для обхода входа в систему, он может получить доступ к компьютерной системе, не зная фактических учетных данных для входа. Это часто называют атакой с использованием липкого ключа .
Вброс Учетных Данных
При атаке с подстановкой учетных данных злоумышленник попытается ввести несколько часто используемых и известных паролей, имен пользователей или и того, и другого, чтобы проверить, работают ли они. Компьютерные системы и сети, в которых для серверов и приложений используются учетные данные по умолчанию или заводские учетные данные, более подвержены такого рода атакам.
Фишинг
Фишинговые атаки часто включают отправку электронных писем, замаскированных под законные сообщения, сотрудникам компании в надежде, что сотрудник перейдет по вредоносной ссылке или файлу в электронном письме. Эти файлы могут загрузить вредоносное ПО на устройство или перенаправить сотрудника на поддельную страницу входа, где он может ввести свои учетные данные и украсть их. Затем злоумышленники могут использовать эти учетные данные, чтобы начать процесс повышения привилегий, в зависимости от уровней разрешений учетных данных.
Боковое Движение
Злоумышленники могут использовать боковое движение для осуществления множества атак. Латеральное движение — это продвижение злоумышленника через сеть или компьютерную систему, когда он пытается украсть разрешения и перейти к конфиденциальной информации.
Реальные примеры повышения привилегий
Помимо злоумышленников-одиночек, было выявлено несколько известных групп злоумышленников, использовавших следующие атаки с целью повышения привилегий: Turla, Whitefly, LAPSUS$ и Carberp.
Турла
По данным MITRE , российская группа злоумышленников Turla использовала уязвимости в драйвере VBoxDrv.sys для получения привилегий в режиме ядра.
Whitefly
Группа кибератак Whitefly использовала программное обеспечение с открытым исходным кодом , чтобы использовать уже известную уязвимость повышения привилегий на компьютерах под управлением Windows. Системы машин не были исправлены, когда Белокрылка напала на них.
ЛАПСУС$
LAPSUS$ использовал неисправленные уязвимости на серверах для повышения привилегий. Затронутые серверы включали JIRA, GitLab и Confluence, которые были признаны внутренне приемлемыми.
Carberp (Карберп)
Carberp , троян, предназначенный для кражи учетных данных, использовал множество уязвимостей Windows, включая CVE-2010-3338 и CVE-2008-1084 , для повышения привилегий. Он также использовал уязвимость оптимизации среды выполнения .NET для повышения привилегий.
4 лучших метода предотвращения атак с целью повышения привилегий
Сегментирование сети вашего бизнеса, предоставление членам команды динамического доступа к приложениям, обновление паролей и постоянное обучение сотрудников снизят влияние таких тактик, как повышение привилегий.
Внедрение Сегментации И Микросегментации Сети
Вместо того, чтобы предоставлять полный доступ всем, кто проходит через периметр сети, сегментируйте свои сети и компьютерные системы, чтобы остановить горизонтальное перемещение и усложнить взлом учетных записей.
- Сегментация сети требует авторизации для входа в каждую подсеть.
- Микросегментация требует авторизации для входа в каждое приложение в сети или в компьютерной системе.
Оба являются полезными инструментами для смягчения последствий бокового движения. Злоумышленник может перемещаться только до тех пор, пока он не украдет учетные данные, но даже если он получит некоторые учетные данные, его способность перемещаться между всеми приложениями будет ограничена.
Реализация Динамического Доступа К Приложениям
Динамический доступ, также известный как доступ «точно в срок» , позволяет пользователям входить в свои учетные записи только в течение определенных периодов времени. ИТ-администраторы или администраторы безопасности предоставляют или удаляют доступ к учетной записи в зависимости от необходимости доступа. Это автоматически сокращает период времени, в течение которого злоумышленник может получить доступ к привилегированной учетной записи, даже если он уже украл учетные данные.
Регулярно Обновляйте Пароли
Хотя смена паролей требует времени, это долгосрочные инвестиции, которые уменьшат общую поверхность атаки на ваш бизнес. Некоторые пароли, особенно на таком оборудовании, как серверы, имеют пароли по умолчанию или заводские пароли, которые никогда не меняются при установке; это одни из самых простых для угадывания субъектов угроз. Но от более надежных паролей тоже следует отказаться. Некоторые приложения, такие как Google Workspace, можно настроить на запрос нового пароля через определенный период времени.
Обучайте Своих Сотрудников
Возможно, это самый важный метод защиты. Все стратегии безопасности в мире по-прежнему ослабляются сотрудниками, которые нажимают на уязвимые ссылки в электронных письмах или не обнаруживают поддельные веб-сайты. Эти слабости не являются автоматически их ошибкой, но их необходимо обучить, чтобы они были экспертами в обнаружении вредоносных попыток. Здесь важно создать корпоративную культуру , в которой приоритет отдается открытому обсуждению вопросов кибербезопасности.
Что делать во время атаки
Если вы активно подвергаетесь атаке с целью повышения привилегий или подозреваете, что это возможно, выполните следующие действия, включая уведомление своей команды, изменение ключевых учетных данных, отключение учетных записей и проверку на наличие вредоносного ПО. Даже если это ложная тревога, отработка этого процесса по-прежнему является хорошей процедурой, позволяющей убедиться, что ваша команда готова к настоящей атаке.
Уведомите Всех Соответствующих Членов Команды
Все ИТ-администраторы и администраторы безопасности должны быть немедленно предупреждены об атаке, даже если это просто предполагаемое нарушение или уведомление от платформы сетевого мониторинга или обнаружения конечных точек вашей компании. Даже о подозрении следует сообщить — повышение привилегий может обернуться серьезным ущербом для компании.
Измените Любые Скомпрометированные Учетные Данные
Если вы можете определить, какая учетная запись была скомпрометирована, немедленно измените учетные данные этой учетной записи. Это может быть просто пароль, а может быть и пароль, и имя пользователя.
Закрытие Учетных Записей
Возможно, вам придется пойти дальше, чем просто изменить учетные данные, и фактически отключить затронутый экземпляр приложения. Хотя это может и не означать закрытие всего приложения, может потребоваться закрытие учетной записи администратора на определенный период времени. В этом случае злоумышленник не сможет выполнять административные действия.
Сканировать На Наличие Вредоносного ПО
Злоумышленник мог загрузить вредоносное ПО в несколько мест компьютерной системы. Он может по-прежнему работать в некоторых программах, предоставляя им постоянный доступ к системе, даже если учетная запись, которую они скомпрометировали, теперь закрыта. Вам следует поискать дальнейшие следы злоумышленника в вашей сети.
Итог: атаки с целью повышения привилегий
Чтобы отразить попытки повышения привилегий, ИТ-команды должны быть очень умными и хорошо осведомленными о своих сетях, системах и приложениях. Все бэкдоры должны быть учтены и исправлены; все пароли должны быть усилены и регулярно обновляться.
Хотя этих мер не всегда достаточно для предотвращения атак, они будут иметь большое значение для уменьшения количества легких вторжений, которые в настоящее время совершают злоумышленники. Усложнение работы злоумышленников не устраняет атаки с целью повышения привилегий, но задает основу для команд ИТ и безопасности и подготавливает их к более продвинутым шагам по предотвращению взломов. Не забывайте активно общаться не только со своими непосредственными командами, но и со всей компанией — они должны знать, с какими рисками они сталкиваются, и должны помогать отделам ИТ и безопасности, распознавая и предотвращая попытки фишинга.