读红蓝攻防：技术与策略20权限提升

1. 权限提升

1.1. 使用合法工具来避免告警已经成为一个总的趋势
1.2. 攻击者在这一阶段的目标是拥有实现更大目标所需的权限级别，可能是大规模删除、损坏或盗窃数据、禁用计算机、破坏硬件等
1.3. 在大多数情况下，攻击者在开始实际攻击之前会寻求获得管理员级的权限
1.4. 账户只拥有其工作需要的权限，以防止滥用

• 1.4.1. 黑客通常会入侵这些低权限账户，因此必须将它们升级到更高的权限，以便继续访问文件或对系统进行更改
  
• 1.4.2. 最小权限原则
  

2. 渗透

2.1. 权限提升通常发生在攻击的后期，这意味着攻击者已经完成了侦察并成功入侵了系统，从而获得了访问权限
2.2. 攻击者可能已经拥有一个低权限级别的账户，因此会寻找一个具有更高权限的账户，以便进一步研究系统或准备实现他们的恶意目的

• 2.2.1. 需要攻击者综合使用技能和工具的组合来实现
  

2.3. 水平权限提升

• 2.3.1. 在水平权限提升中，攻击者使用普通账户访问其他用户的账户
  
• 2.3.2. 攻击者不会主动升级账户的权限，这些权限会因为攻击者访问其他账户而自然获得
  
• 2.3.3. 在这种权限提升中，不使用任何工具来升级账户
  
• 2.3.4. 通过软件缺陷提升，由于系统编码中存在错误，因此普通用户能够查看和访问其他用户的文件
  
• 2.3.5. 通常，黑客在危害系统时，通过窃取登录凭据的工具和技术来实施水平权限提升攻击
  
• 2.3.6. 一些攻击者会使用水平权限提升方法，因为这更容易执行
  

2.4. 垂直权限提升

• 2.4.1. 要求更高的权限提升技术组成，并包括黑客工具的使用
  
• 2.4.2. 攻击者被迫执行管理级或内核级操作，以便非法提升访问权限
  
• 2.4.3. 垂直权限提升更加困难，但也更有价值，因为攻击者可以获得系统的系统权限
  
  
  
  • 2.4.3.1. 一个系统用户比管理员用户拥有更多权利，因此可以造成更大的损害
    
  • 2.4.3.2. 攻击者也有更多机会停留在网络系统上并执行操作，同时保持不被检测到
    
  
  
• 2.4.4. 凭借超级用户访问权限，攻击者可以执行管理员无法阻止或干预的操作
  
• 2.4.5. 垂直权限提升技术因系统而异
  
  
  
  • 2.4.5.1. 在Windows中，常见的做法是造成缓冲区溢出来实现垂直权限提升
    

    2.4.5.1.1. EternalBlue
    

    2.4.5.1.1.1. 被一个叫作Shadow Brokers的黑客组织公之于众
    

    
    
  • 2.4.5.2. 在Linux上，垂直权限提升是通过允许攻击者拥有能够修改系统和程序的root权限实现的
    
  • 2.4.5.3. 在Mac上，垂直权限提升是在一个称为越狱(jailbreaking)的过程中完成的，允许黑客执行以前不允许的操作
    
  • 2.4.5.4. 垂直权限提升也在基于Web的工具上完成
    
  
  
• 2.4.6. 通过漏洞利用后端使用的代码实现的
  
• 2.4.7. 对目标系统有充分了解的资深黑客通常会使用垂直权限提升方法
  

2.5. 从大多数方法中可以看出，黑客必须利用合法的程序和服务，以便提升权限

• 2.5.1. 因为大多数系统都使用最小权限的概念构建
  
  
  
  • 2.5.1.1. 用户被有目的地赋予了完成其角色所需的最低权限
    
  
  
• 2.5.2. 只有合法的服务和程序被赋予高级权限，因此，攻击者在大多数情况下必须破坏它们
  

3. 权限提升的原理

3.1. 每个账户都需要访问系统的权限

• 3.1.1. 基本用户或标准用户无权访问被视为敏感的权限
  

3.2. 权限级别从基本权限到管理员级的权限不等，管理员级的权限可以撤销低级账户的权限，甚至可以禁用低级账户
3.3. 网络管理涉及最小权限原则的使用

• 3.3.1. 最小权限原则规定向账户分配权限的方式
  
• 3.3.2. 员工在组织中的层级越高，他们在系统中被分配的权限就越多
  

3.4. 威胁行为者需要管理员权限才能在系统中执行他们需要的恶意操作
3.5. 方法

• 3.5.1. 凭据利用
  
  
  
  • 3.5.1.1. 用户要访问系统中的资源，需要有效凭据来验证获得系统和资源的访问权限
    
  • 3.5.1.2. 威胁行为者通常将管理员账户作为渗透系统的手段
    

    3.5.1.2.1. 将管理员账户作为目标的原因是该账户所具有的特权，可以让攻击者在不引起怀疑的情况下横向移动
    

    3.5.1.2.2. 一旦攻击者获得被称为管理员账户的特权用户账户的访问权限，就可以无限制地访问该账户，并享有该账户的权限
    

    
    
  • 3.5.1.3. 口令重置会起作用，攻击者将被锁定在系统之外
    

    3.5.1.3.1. 在许多情况下，它并不能永久地解决问题，因为系统被入侵的原因还没有被发现和妥善处理
    

    3.5.1.3.2. 将入侵者完全拒之门外的唯一方法是确保已发现并彻底根除入侵源头
    

    
    
  • 3.5.1.4. 使用泄露的凭据是实施攻击的一种有效手段
    

    3.5.1.4.1. 包括使用恶意软件抓取内存、口令重用攻击等许多办法
    

    
    
  • 3.5.1.5. 通过多种方式将权限从基本账户提升到管理员账户
    
  • 3.5.1.6. 为了进行适当的特权访问管理，应该优先考虑超级用户账户，因为他们是攻击者实现水平权限提升的主要目标
    
  
  
• 3.5.2. 错误配置
  
  
  
  • 3.5.2.1. 错误配置规避了身份验证要求，如果被利用，可能会导致未经授权的系统访问
    
  • 3.5.2.2. 错误配置是系统中一种不需要整改的漏洞形式
    
  • 3.5.2.3. 缓解和整改解决方案之间有一个关键区别
    

    3.5.2.3.1. 对于整改，你将需要软件或固件补丁来修复已发现的漏洞
    

    3.5.2.3.2. 缓解措施只涉及修改现有代码
    

    3.5.2.3.2.1. 这能够转移风险并阻止潜在的利用
    

    
    
  • 3.5.2.4. 示例
    

    3.5.2.4.1. 环境中内置的未记录的后门
    

    3.5.2.4.2. 通常在系统的初始配置期间创建空白或默认的口令或root账户
    

    3.5.2.4.3. 首次安装后无法锁定的不安全访问路线
    

    
    
  • 3.5.2.5. 漏洞可以决定威胁行为者是否能够访问系统
    

    3.5.2.5.1. 如果该漏洞很严重，那么威胁行为者可以利用它来获得对系统的访问权限
    

    
    
  • 3.5.2.6. 错误配置及其带来的风险已经成为经常被利用的主要问题，而网络管理员对在网络系统开发期间完成的配置无能为力
    
  
  
• 3.5.3. 特权漏洞及利用
  
  
  
  • 3.5.3.1. 特权漏洞指编码人员是在系统开发、设计或配置期间所犯的错误
    

    3.5.3.1.1. 这些错误最终使黑客有可能在系统中进行恶意活动
    

    
    
  • 3.5.3.2. 漏洞可能存在于操作系统、Web应用程序、应用程序的基础设施等
    
  • 3.5.3.3. 系统存在漏洞并不意味着特权攻击会成功，只有当漏洞被利用时，攻击才会成功
    
  • 3.5.3.4. 一些黑客只发现漏洞，但自己不进行利用
    

    3.5.3.4.1. 相反，他们在黑市上出售这些信息，然后其他黑客可以利用这些信息
    

    3.5.3.4.2. 在信息被公之于众之前，一些漏洞被国家机构使用，这可能是有意或无意的行为
    

    
    
  • 3.5.3.5. 只有少数漏洞可以帮助攻击者垂直提升其权限
    

    3.5.3.5.1. 一些漏洞会导致进一步的攻击，从而有助于垂直提升权限
    

    
    
  • 3.5.3.6. 被利用的应用程序的权限也是一个重要因素，有助于确定可能的升级类型和攻击媒介的有效性
    

    3.5.3.6.1. 如果它是一个基本用户账户，并且攻击者只能进行水平权限提升，那么风险将是最小的
    

    3.5.3.6.2. 如果被入侵的用户账户是管理员账户，那么在这种情况下，风险因素是巨大的，攻击者能够对系统中的敏感资产和信息造成更大的损害
    

    3.5.3.6.3. 如果用户账户是域账户，并且可以利用域管理，那么攻击者将可以访问整个环境，并对系统造成巨大破坏
    

    
    
  • 3.5.3.7. 安全专家和网络管理员能够使用标准评分和术语来分析、讨论漏洞风险并确定其优先级
    
  • 3.5.3.8. 任何能够获得系统访问权限、修改系统中的代码，并随后在不被检测到的情况下继续进行的攻击，都依赖于多个因素才能成功
    

    3.5.3.8.1. 包括漏洞本身以及漏洞在系统中执行时所拥有的权限
    

    3.5.3.8.2. 对于安全系统，网络管理员需要结合补丁管理、风险评估、特权访问管理和漏洞管理等解决方案，确保漏洞得到妥善管理
    

    
    
  
  
• 3.5.4. 社会工程
  
  
  
  • 3.5.4.1. 社会工程攻击利用了人们对发送给他们的文本、语音和电子邮件等通信形式的信任
    
  • 3.5.4.2. 消息制作决定了这个过程的成功率
    

    3.5.4.2.1. 如果消息成功地实现了它的意图，那么攻击者就成功地完成了攻击过程的第一步
    

    
    
  • 3.5.4.3. 社会工程攻击者试图利用某些人类特征
    
  
  
• 3.5.5. 恶意软件
  
  
  
  • 3.5.5.1. 这是攻击者在攻击系统时可以用来提升权限的另一种方法
    
  • 3.5.5.2. 恶意软件包括病毒、蠕虫、广告软件、间谍软件和勒索软件等
    
  • 3.5.5.3. 是指所有类型的恶意软件，这些软件是专门为感染或非法访问某个系统而构建的
    
  • 3.5.5.4. 目的包括数据泄露、监视、破坏、控制、拒绝服务及敲诈勒索等
    
  • 3.5.5.5. 恶意软件通常充当攻击者在目标系统中实施恶意活动的工具
    
  • 3.5.5.6. 恶意软件被设计为只要获得系统访问权就会执行
    

    3.5.5.6.1. 可以在所有级别的账户上执行—从标准用户账户到管理员账户
    

    
    
  • 3.5.5.7. 漏洞包括
    

    3.5.5.7.1. 漏洞和弱点的组合
    

    3.5.5.7.2. 组织供应链中的弱点
    

    3.5.5.7.3. 合法安装者
    

    3.5.5.7.4. 通过社会工程技术实现的网络钓鱼或互联网攻击
    

    
    
  • 3.5.5.8. 恶意软件交付到目标设备的方式并不重要，其目的始终是在目标资源上执行代码
    
  
  

4. 安全标准

4.1. 常见漏洞和风险(Common Vulnerabilities and Exposure，CVE)
4.2. 开放式漏洞与评估语言(Open Vulnerability Assessment Language，OVAL)
4.3. 通用配置枚举(Common Configuration Enumeration，CCE)
4.4. 常见漏洞枚举规范(Common Weakness Enumeration Specification，CWE)
4.5. 可扩展配置清单描述格式(The Extensible Configuration Checklist Description Format，XCCDF)
4.6. 通用漏洞评分系统(Common Vulnerability Scoring System，CVSS)
4.7. 通用平台枚举(Common Platform Enumeration，CPE)
4.8. 通用配置评分系统(Common Configuration Scoring System，CCSS)
5. 告警规避

5.1. 避免发出受害者系统已经失陷的告警符合黑客的利益
5.2. 尤其是在权限提升期间，检测的代价将会相当高昂，因为这将意味着攻击者所做的所有努力都将付诸东流
5.3. 在攻击者执行此阶段之前，如果可能，通常会禁用安全系统
5.4. 权限提升的方法也相当复杂
5.5. 大多数情况下，攻击者必须创建带有恶意指令的文件，而不是使用工具对系统执行恶意操作
5.6. 经常选择使用阻力最小的方法

• 5.6.1. 如果这意味着需要创建与系统认可的合法文件相同的文件，他们会这样做
  

5.7. 规避告警的方法是使用合法的工具来执行攻击

来源：程序园用户自行投稿发布，如果侵权，请联系站长删除
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！