Эксплуатация неисправленных операционных систем

Windows, как и многие другие операционные системы, следит за тем, как ха- керы могут скомпрометировать ее. Она продолжает выпускать патчи, чтобы исправить это. Однако некоторые сетевые администраторы не могут своевре- менноустанавливатьэтиисправления.Кто-товообщеотказываетсяотисправ- лений. Таким образом, высока вероятность того, что злоумышленник найдет компьютеры,на которых отсутствуютпатчи.Хакеры используютинструменты сканирования, чтобы узнать информацию об устройствах в сети и идентифи- цировать те, которые не были исправлены. Инструменты, которые могут быть использованы для этого, мы обсуждали в главе 4 «Разведка и сбор данных». Два наиболее часто используемых – Nessus и Nmap. После идентификации неисправленных компьютеров хакеры могут искать эксплойты из Kali Linux, которые можно использовать для эксплуатации. Searchsploit будет содержать соответствующие эксплойты, которые могут быть использованы для компью- теров с отсутствующими патчами. Как только эксплойты будут обнаружены, злоумышленникскомпрометируетсистему.ЗатемониспользуетPowerUp,что- быобойтиуправлениепривилегиямиWindows,иобновитпользователянауяз- вимом компьютере до администратора.

Если злоумышленник не хочет использовать инструменты сканирования для проверки текущего состояния системы, включая исправления, можно вос- пользоваться инструментом командной строки WMI под названием wmic для получения списка установленных обновлений, как показано на рис. 8.1.

Рис.8.1

Еще один вариант– использовать команду PowerShell get-hotix (рис. 8.2).

Рис.8.2

В Windows все процессы запускаются определенным пользователем, и си- стема знает права и привилегии, которыми обладает пользователь. Windows обычно использует маркеры доступа для определения владельцев всех за- пущенных процессов. Этот метод повышения привилегий используется для того, чтобы процессы выглядели так, как если бы они были запущены другим пользователем, а не тем, кто их фактически запустил. Способ, которым Win- dows управляет правами администратора, подвержен атакам. Операционная система регистрируетпользователей с правами администратора как обычных пользователей, но затем выполняет их процессы с правами администратора. Windows использует команду run as administrator для выполнения процессов с правами администратора. Поэтому, если злоумышленник может обмануть систему, заставив ее поверить, что процессы запускаются администратором, эти процессы будут работать, не пересекаясь с правами администратора пол- ного уровня.

Манипулирование маркерами доступа происходит, когда злоумышленники ловко копируют маркеры из существующих процессов, используя встроенные функции WindowsAPI.Они специально нацелены на процессы,которые запус­ каются администраторами на компьютере. Когда они вставляют маркеры до- ступа администратора в Windows при запуске нового процесса, она запускает процессы с правами администратора. Манипулирование маркерами доступа также может происходить, когда хакерам известны учетные данные адми- нистратора. Они могут быть украдены при различных типах атак и затем ис- пользованы для манипулирования маркерами доступа. В Windows есть опция запуска приложения от имени администратора. Для этого Windows запросит у пользователя ввод учетных данных администратора и запустит программу/ процесс с правами администратора.

Наконец, манипулирование маркерами также может происходить, когда злоумышленник использует украденные маркеры для аутентификации про- цессов удаленной системы, но при условии, что у этих маркеров есть соответ- ствующие права доступа в удаленной системе.

Манипулирование маркерами доступа широко используется в Metasploit, речь о котором шла в главе 5 «Компрометация системы». В состав Metasploit входит инструмент Meterpreter, который может осуществлять кражу марке- ров и использовать украденные маркеры для запуска процессов с повышен- ными привилегиями. В Metasploit также есть инструмент Cobalt Strike, кото- рый использует преимущества кражи маркеров.Такие инструменты способны украстьи создатьсобственные маркеры с правами администратора.Сутьэтого метода повышения привилегий заключается в том, что существует заметная тенденция, когда злоумышленники пользуются преимуществами легитимной системы.Можно сказать,что это форма обхода обороны со стороны злоумыш- ленника.

В Windows есть несколько специальных возможностей, которые должны по- мочь пользователям лучше взаимодействовать с ОС, причем больше внима- ния уделяется пользователям с нарушением зрения. В число этих функций входят лупа, экранная клавиатура, переключатель экрана и рассказчик. Эти функции удобно размещаются на экране входа в Windows, чтобы иметь воз- можность оказывать поддержку пользователю с момента входа в систему. Однако злоумышленники могут манипулировать этими функциями для соз- дания бэкдора, с помощью которого они могут войти в систему без аутенти- фикации. Это довольно простой процесс, и его можно выполнить за считан- ные минуты. Злоумышленнику потребуется скомпрометировать компьютер Windows с помощью LiveCD. Этот инструмент позволит злоумышленнику загрузиться с ОС Linux Desktop. После этого диск с ОС Windows будет виден и доступен для редактирования. Все эти специальные возможности хранят- ся в виде исполняемых файлов в папке System32. Поэтому хакер удалит один или несколько из них и заменит их на приложение,открывающее командную строку или бэкдор. После того как замена будет завершена и хакер выйдет из системы, при запуске Windows все будет выглядеть нормально. Однако у зло- умышленника будетвозможностьобойти приглашение входа в систему.Когда ОСотображаетприглашениеввестипароль,злоумышленниквответназапрос может просто щелкнуть на любую из специальных возможностей и запустить командную строку.

Командная строка,которая при этом отображается,будет выполняться с си- стемным уровнем доступа, что является высшим уровнем привилегий для компьютера­ с Windows. Злоумышленник может использовать полученный доступ к командной строке для выполнения других задач. Он может откры- вать браузеры,устанавливать программы,создавать новых пользователей,ис- пользуя привилегии, и даже устанавливать бэкдоры. Еще более опасная вещь, которую может сделать злоумышленник, – запустить Windows Explorer, введя

вкомандную строку команду explorer.exe. На компьютере, куда злоумышлен- ник даже не вошел, откроется проводник Windows, причем с привилегиями системного пользователя. Это означает, что у злоумышленника есть исключи- тельные права делать на компьютере все, что ему угодно, без входа в систему

вкачестве администратора. Этот метод повышения привилегий очень эффек- тивен, но он требует от злоумышленника физического доступа к компьютеру жертвы.Поэтому в основном это осуществляется с помощью внутренних угроз или злоумышленников, которые входят в помещения организации, используя

методы социальной инженерии.

Application Shimming – это фреймворк Windows Application Compatibility, соз-

данныйWindows,чтобыпрограммымоглиработатьвтехверсияхОС,длякото- рыхониизначальнонебылисозданы.Благодаряэтойплатформебольшинство приложений, которые раньше работали в Windows XP, сегодня может работать

вWindows 10. Работа фреймворка довольно проста: он создает «прокладку» (shim), представляющую собой библиотеку, которая выступает в качестве бу- фера между старой версией программы и операционной системой. Во время выполнения программ обращение к кешу этой библиотеки позволяет опреде- лить, нужно ли им использовать базу данных «прокладки». Если да, эта база данных будетиспользоватьAPIдля обеспечения эффективного перенаправле- ниякодовпрограммыдлясвязисОС.Посколькупрокладкинапрямуюсвязаны сОС,Windowsрешиладобавитьфункциюбезопасности,гдеонибудутработать

впользовательском режиме.

Безпривилегийадминистраторапрокладкинемогутмодифицироватьядро. Однако злоумышленникам удалось создать специализированные прокладки, которые могут обойти контроль учетных записей пользователей, внедрить DLL-библиотеки в запущенные процессы и вмешаться в адреса памяти. Эти прокладки могут позволить злоумышленнику запускать собственные вредо- носные программы с повышенными привилегиями. Их также можно исполь- зовать для отключения программного средства обеспечения безопасности, особенно Защитника Windows.

Приведенная ниже диаграмма иллюстрируетиспользование специализиро- ванной прокладки для новой версии Windows (рис. 8.3).

Кастомная

прокладка

Рис.8.3

Полезно взглянуть на пример того, как она создается. Сначала необходимо запуститьпрограмму Администратор совместимости из Набора средствдля обеспечения совместимости приложений от Microsoft (Microsoft Application Compatibility Toolkit).

Он показан на рис. 8.4 (12).

Рис.8.4

Затем необходимо создать новую базу данных в разделе Custom Databases, щелкнув правой кнопкой мыши на параметре New Database(1) (Новая база данных (1)) и выбрав создание нового исправления для приложения.

На рис. 8.5 ниже показан процесс создания нового исправления для при- ложения (12).

Рис.8.5

Следующим шагом является подробное описание конкретной программы, для которой вы хотите создать прокладку (рис. 8.6).

Рис.8.6