Varonis 30 мая 2019 в 14:33

Использование PowerShell для повышения привилегий локальных учетных записей

4 мин

14K

Блог компании Varonis SystemsИнформационная безопасность*Системное администрирование*PowerShell*

Перевод

Комментарии 9

Hashinger 30 мая 2019 в 15:14

Все понятно кроме этого.
«В этом списке мы видим учетную запись компьютера, которую мы уже идентифицировали и к которой уже получили доступ:»
Такое ощущение что кусок выдрали. Когда доступ к Sharepoint появился? О наличии оного в группе helpdesk только что узнали и уже есть доступ?

Varonis 30 мая 2019 в 17:39

Как было указано выше в статье, предполагается, что доступ для атаки на Hub-Sharepoint уже был получен в рамках отдельных атак: это могли быть фишинг, эксплоиты, соц.инженерия и т.п. В этой статье мы опускаем подробности получения рут-доступа к этому серверу, это будет тема отдельного цикла статей по неуловимой малвари. Поэтому в этот раз это было опущено намеренно, очевидно, здесь просто возникла путаница.

Hashinger 30 мая 2019 в 18:07

Ну тогда я бы добавил в самом начале больше вводных данных и ссылки на статьи или указали, что как было написано ранее в статье(ссылка). И если вы упускаете как получили доступ то так и надо писать. Просто логическая цепочка ломается и статья теряет целостность.

AAT666 31 мая 2019 в 14:29

мы считаем, что злоумышленник получил права локального администратора на исследуемой системе

Ок, получил.
Но ему же еще надо попасть в домен. Или он еще и права доменного пользователя получил?..

Varonis 2 июн 2019 в 04:28

Локальная учетная запись пользователя является доменной записью и обладает правами админа на исследуемой системе — тут все как в классике. По сути статья является ещё одним предупреждением не давать прав админа, в том числе, и доменным учёткам.

AAT666 2 июн 2019 в 08:49

Ни разу такого не встречал… Если разворачивать домен, то и переносить пользователей туда же, не? Тем же Powershell'ом — минутное дело. Но Вам виднее, конечно — если говорите, что это классика.

Hashinger 3 июн 2019 в 21:48

Ну как же, ведь были компоненты от BS которые стартовали только от локального администратора. Это было давно. Но скорее всего есть некоторый софт, который стартует только от администратора. В силу того, что его не переписали а в продакшене он используется.

ivanopulos 31 мая 2019 в 21:44

А каким образом учетная запись компьютера попала в группу «HelpDesk»?

Varonis 2 июн 2019 в 04:29

Это нам неведомо, но факт остаётся фактом. Мы часто с таким сталкиваемся в реальности.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий