Повышение привилегий и внутренняя разведка (жизненный цикл атаки)

Повышение привилегий
Когда злоумышленник получает первоначальный доступ к системе, он может сделать это только на непривилегированном уровне. Как непривилегированный пользователь, злоумышленник не имеет возможности сбрасывать пароли, устанавливать программное обеспечение, просматривать файлы других пользователей или изменять нужные настройки. Чтобы решить эту проблему, злоумышленнику необходимо повысить привилегии до учетной записи root или администратора.
К методам достижения этой цели относятся использование уязвимостей, связанных с переполнением буфера локальной системы, кража учетных данных и процесс инъекции. В конце этапа повышения привилегий злоумышленник получает доступ к привилегированной учетной записи root или аккаунту администратора в локальной системе. Если злоумышленнику особенно повезет, он также получит доступ к привилегированной учетной записи домена, которая может использоваться в разных системах сети.

Внутренняя разведка
Теперь, когда злоумышленник установил точку опоры и получил привилегированный доступ к системе, он может начать опрашивать сеть из своей новой точки расположения. Методы, используемые на этом этапе, не сильно отличаются от методов предыдущего этапа разведки. Основное отличие заключается в том, что теперь злоумышленник имеет опорную точку внутри целевой сети и сможет перечислить значительно больше хостов. Кроме того, теперь будут видны внутренние сетевые протоколы, связанные, например, с Active Directory.
В конце фазы внутренней разведки у злоумышленника будет более подробная карта целевой сети, хостов и пользователей, которую можно использовать для уточнения общей стратегии и определения действий на следующей фазе жизненного цикла.

Оставьте комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *