Varonis May 30 2019 at 14:33

Использование PowerShell для повышения привилегий локальных учетных записей

4 min

15K

Varonis Systems corporate blogPowerShell*Information Security*System administration*

Translation

Comments 9

Hashinger May 30 2019 at 15:14

Все понятно кроме этого.
«В этом списке мы видим учетную запись компьютера, которую мы уже идентифицировали и к которой уже получили доступ:»
Такое ощущение что кусок выдрали. Когда доступ к Sharepoint появился? О наличии оного в группе helpdesk только что узнали и уже есть доступ?

Varonis May 30 2019 at 17:39

Как было указано выше в статье, предполагается, что доступ для атаки на Hub-Sharepoint уже был получен в рамках отдельных атак: это могли быть фишинг, эксплоиты, соц.инженерия и т.п. В этой статье мы опускаем подробности получения рут-доступа к этому серверу, это будет тема отдельного цикла статей по неуловимой малвари. Поэтому в этот раз это было опущено намеренно, очевидно, здесь просто возникла путаница.

Hashinger May 30 2019 at 18:07

Ну тогда я бы добавил в самом начале больше вводных данных и ссылки на статьи или указали, что как было написано ранее в статье(ссылка). И если вы упускаете как получили доступ то так и надо писать. Просто логическая цепочка ломается и статья теряет целостность.

AAT666 May 31 2019 at 14:29

мы считаем, что злоумышленник получил права локального администратора на исследуемой системе

Ок, получил.
Но ему же еще надо попасть в домен. Или он еще и права доменного пользователя получил?..

Varonis Jun 2 2019 at 04:28

Локальная учетная запись пользователя является доменной записью и обладает правами админа на исследуемой системе — тут все как в классике. По сути статья является ещё одним предупреждением не давать прав админа, в том числе, и доменным учёткам.

AAT666 Jun 2 2019 at 08:49

Ни разу такого не встречал… Если разворачивать домен, то и переносить пользователей туда же, не? Тем же Powershell'ом — минутное дело. Но Вам виднее, конечно — если говорите, что это классика.

Hashinger Jun 3 2019 at 21:48

Ну как же, ведь были компоненты от BS которые стартовали только от локального администратора. Это было давно. Но скорее всего есть некоторый софт, который стартует только от администратора. В силу того, что его не переписали а в продакшене он используется.

ivanopulos May 31 2019 at 21:44

А каким образом учетная запись компьютера попала в группу «HelpDesk»?

Varonis Jun 2 2019 at 04:29

Это нам неведомо, но факт остаётся фактом. Мы часто с таким сталкиваемся в реальности.