网络安全杀伤链:权限提升
本文摘自《网络安全与攻防策略:现代威胁应用之道》4.4章节,网络安全杀伤链-权限提升。
作者从威胁行为者的身份分析网络安全,便于读者朋友更好地理解执行攻击的原理、动机和步骤。我们称其为网络安全杀伤链。
据报道,最先进的网络攻击涉及在目标网络内部的入侵,这种入侵在造成损害或被发现之前,会持续很长时间。这揭示了当今威胁行为者的一个独特特征:他们有一种惊人的能力,可以在时机成熟之前保持不被发现。这意味着,他们的行动在有组织、有计划地进行。在对其攻击的精确性进行研究后,发现大多数网络威胁行为者都是通过一系列类似的阶段来成功完成攻击。
为了增强安全态势,请确保从保护和检测的角度覆盖网络安全杀伤链的所有阶段。但要做到这一点,唯一的方法是确保了解每个阶段是如何工作的,了解威胁行为者的思维模式,以及受害者在每个阶段可能经历的后果。
本章涵盖网络安全杀伤链中的以下主题:
● 了解网络安全杀伤链的重要性
● 外部侦察和武器化
● 危害系统
● 权限提升、横向移动和渗出
● 网络安全杀伤链阶段使用的工具
● 探索网络杀伤链的实用实验
该阶段发生在威胁行为者已经确定目标,并使用前面讨论的工具和扫描工具扫描并利用其漏洞之后。在此阶段,威胁行为者的重点是保持在网络中的访问和移动,同时不被发现。为了在不被检测到的情况下实现自由移动,威胁行为者需要执行权限提升。
此攻击将向威胁行为者授予对网络、其连接的系统和设备的更高级别的访问权限(见下图 )。
图 投递的武器将被安装到目标上
权限提升可以通过两种方式完成:垂直和水平,如表 所示。
表 垂直权限提升与水平权限提升对比
垂直权限提升 | 水平权限提升 |
威胁行为者从一个账户移动到另一个具有更高权限的账户 | 威胁行为者使用同一账户,但提升其权限 |
用于提升权限的工具 | 用于提升权限的用户账户 |
1
垂直权限提升
垂直权限提升是指威胁行为者进入组织的 IT基础架构并设法向自己授予更高权限的方式。这是一个复杂的过程,因为用户必须执行一些内核级操作来提升其访问权限。
一旦操作完成,威胁行为者将拥有访问权力和权限,允许他们运行任何未经授权的代码。使用此方法获取的权限是具有比管理员权限更高的超级用户权限。由于这些权限,威胁行为者可以执行即使是管理员也无法阻止的各种有害操作。在 Windows中,垂直升级可使威胁行为者用来执行任意代码的缓冲区溢出。
2017年 5月发生的一起名为 WannaCry的攻击已经见证了这种类型的权限提升。勒索软件 WannaCry加密了全球 150多个国家的计算机,并要求 300美元的赎金解密,造成了毁灭性的破坏,且表示第二周后赎金将翻一番。有趣的是,该攻击使用的是一种名为“永恒之蓝”的漏洞,据称该漏洞是从美国国家安全局窃取的。该漏洞允许恶意软件提升其权限,并在 Windows计算机上运行任意代码。
在 Linux中,垂直权限提升用于允许威胁行为者使用 root用户权限在目标计算机上运行或修改程序。窃取凭据的目的包括窃取敏感数据、扰乱组织的运营以及为未来的攻击创建后门。
2
水平权限提升
水平权限提升更简单,因为它允许用户使用从初始访问中获得的相同权限。
一个很好的例子是威胁行为者能够窃取网络管理员的登录凭据。管理员账户本身具有威胁行为者在访问该账户后立即拥有的高级权限。
当威胁行为者能够使用普通用户账户访问受保护的资源时,也会发生水平权限提升。一个很好的例子是普通用户错误地访问另一个用户的账户。这通常是通过会话、cookie窃取、跨站脚本、猜测弱密码和记录击键实现的。
此阶段结束时,威胁行为者通常已经建立了进入目标系统的远程访问入口点。威胁行为者还可能有权访问多个用户的账户。威胁行为者还知道了如何规避目标可能拥有的安全工具的检测。
此后将进入下一个阶段,即渗出阶段,我们将在下一节介绍。
扫码关注【华章计算机】视频号
每天来听华章哥讲书
更多精彩回顾
书讯 | 5月书讯(下)| 5天小长假,一起读新书
书讯 | 5月书讯(上)| 5天小长假,一起读新书
资讯 | DB-Engines 5月数据库排名:MySQL或将超越Oracle?
书单 | 8本书助你零基础转行数据分析岗
干货 | 什么是架构?网络架构中都有什么?终于有人讲明白了
收藏 | 终于有人把Scrapy爬虫框架讲明白了
上新 | 【新书速递】架构师是怎样炼成的
活动 | 技术大会 | Gdevops全球敏捷运维峰会 - 广州站
点击阅读全文购买