|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
Справочные материалы 177to |
BUY |
|
|
||||||||||||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
w Click |
|
|
|
|
|
|
|
m |
w Click |
|
|
|
|
|
|
|
m |
||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
да: горизонтальное и вертикальное повышения привилегий. Некоторые зло |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||||
умышленники будут использовать методы горизонтального повышения привилегий, потому что они менее сложны в исполнении. Однако хакеры-ве- тераны,хорошо разбирающиеся в системах,на которые нацелены,используют вертикальныеметодыповышенияпривилегий.Здесьбылирассмотренынеко- торые из этих методов. В большинстве случаев было ясно, что хакеры должны нацеливаться на легитимные процессы и сервисы, чтобы повысить привиле- гии, потому что большинство систем построено с использованием концепции наименьших привилегий. Пользователям целенаправленно предоставляются наименьшие привилегии,которые имтребуютсядля выполнения своих ролей. Привилегии высокого уровня предоставляются только легитимным службам и процессам,и поэтому злоумышленникам в большинстве случаев приходится их взламывать.
Справочные материалы
1.Gouglidis A., Mavridis I., and Hu V. C. Security policy verification for multi-do- mains in cloud systems // International Journal of Information Security. 2014. № 13 (2). C. 97–111. https://search.proquest.com/docview/1509582424. DOI: http://dx.doi.org/10.1007/s10207-013-0205-x.
2.Sommestad T., and Sandström F. An empirical test of the accuracy of an at- tack graph analysis tool // Information and Computer Security. 2015. № 23 (5). C. 516–531. https://search.proquest.com/docview/1786145799.
3.Groves D. A. Industrial Control System Security by Isolation: A Dangerous Myth // American Water Works Association.Journal. 2011. № 103 (7). С. 28–30. https://search.proquest.com/docview/878745593.
4.Asadoorian P. Windows Privilege Escalation Techniques (Local) – Tradecraft Security Weekly #2 – Security Weekly // Security Weekly. 2017. https://secu- rityweekly.com/2017/05/18/windows-privilege-escalation-techniques-local-tra- decraft-security-weekly-2/.
5.Perez C. Meterpreter Token Manipulation // Shell is Only the Beginning. 2017. https://www.darkoperator.com/blog/2010/1/2/meterpreter-token-manipulation. html.
6.Knight S.Exploit allows command prompt to launch at Windows 7 login screen// TechSpot. 2017. https://www.techspot.com/news/48774-exploit-allows-command- prompt-to-launch-at-windows-7-login-screen.html.
7.Application Shimming // Attack.mitre.org. 2017. https://attack.mitre.org/techniques/T1138/.
8.Bypass User Account Control // Attack.mitre.org. 2017. https://attack.mitre.org/ techniques/T1088/.
9.DLL Injection // Attack.mitre.org. 2017. https://attack.mitre.org/techniques/ T1055/.
10.DLL Hijacking Attacks Revisited // InfoSec Resources. 2017. https://resources.
infosecinstitute.com/dll-hijacking-attacks-revisited/.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|||
|
|
|
C |
|
|
E |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
|
d |
|
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
|
t |
|
|
|
F |
|
|
|
|
|
|
|
t |
|
|||
|
D |
|
|
|
|
|
|
|
|
|
i |
r |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
r |
|||||
P |
|
|
|
|
|
NOW! |
o |
|
P |
|
|
|
|
|
NOW! |
o |
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
|
|
BUY |
|
|
|||||||||
|
|
|
|
to |
178 |
Повышение привилегий |
|
|
|
|
to |
|
|
|
|
|
|
|||||||||
w Click |
|
w Click |
|
|
|
|
|
|
|
|||||||||||||||||
|
|
|
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
|
|
o |
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
g |
.c |
|
|
|
. |
|
|
|
|
g |
.c |
|
|||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
|
n |
e |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
11. |
|
|
Dylib-Hijacking Protection // Paloaltonetworks.com. 2017. https://docs.paloal- |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
tonetworks.com. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
12. Newton T. Demystifying Shims-or-Using the App Compat Toolkit to make your |
|
|
|
|
|
|
|
|||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
oldstuffworkwithyournewstuff//Blogs.technet.microsoft.com.2018.https:// |
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
blogs.technet.microsoft.com/askperf/2011/06/17/demystifying-shims-or-using- |
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
the-app-compat-toolkit-to-make-your-old-stuff-work-with-your-new-stuff/. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
13. |
|
|
DLL Injection – enterprise // Attack.mitre.org. 2018. https://attack.mitre.org/ |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
techniques/T1055/. |
|
|
|
|
|
|
|
|
|
|
|
|
Резюме
В этой главе мы изучили этап повышения привилегий.Было отмечено,что су- ществуетдва класса повышения привилегий: вертикальное и горизонтальное. Мы также выявили,что горизонтальное повышение привилегий – это лучшее, на что может надеяться злоумышленник. Это связано с тем, что методы, ис- пользуемые для горизонтального повышения привилегий, не слишком слож- ны. Мы рассмотрели большинство сложных методов вертикального повыше- ния привилегий,которые злоумышленники используютпри атаке на системы. Примечательно, что большинство обсуждаемых методик использует попытки поставить под угрозу легитимные службы и процессы, чтобы получить более высокие привилегии. Вероятно, это последняя задача, которую злоумышлен- нику придется выполнить за всю атаку.
В следующей главе мы объясним, как злоумышленники наносят последний удар и как они пожинают плоды своих усилий в случае успеха.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|
||
|
|
X |
|
|
|
|
|
||
|
- |
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
||
|
|
|
|
|
|
|
|||
|
|
|
|
|
BUY |
|
|
||
|
|
|
|
to |
|
|
|
|
|
w Click |
|
|
|
|
m |
||||
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
|
e |
|
|
|
|
|
|
|
n |
|
|
||
|
|
|
|
|
|
Глава 9 |
|||
|
|
|
|
-xcha |
|
|
|
||
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
Политика безопасности
Начиная с главы 3 «Жизненный цикл атаки» до главы 8 «Повышение привиле- гий» мы рассказывали о стратегиях атак и о том, как Красная команда может повысить уровень безопасности организации, используя распространенные методы атак. Теперь пришло время сменить тему и начать смотреть на вещи с точки зрения обороны.Нетдругого способа начать говорить о стратегиях за- щиты, кроме как вспомнить о политике безопасности. Хороший набор поли- тик безопасности необходим, чтобы гарантировать, что вся компания следует четко определенному набору основных правил, которые помогут защитить ее данные и системы.
В этой главе мы рассмотрим следующие темы:проверка политики безопасности;обучение конечного пользователя;соблюдение политики;мониторинг на соответствие.
Проверка политики безопасности
Возможно, первый вопрос должен звучать так: «У вас вообще есть политика безопасности?» Даже если последует ответ «Да», вам все равно нужно продол- жать задавать эти вопросы. Следующий вопрос: «Применяете ли вы эту по- литику?» Опять же, даже если ответ будет «Да», вы должны задать следующий вопрос: «Как часто вы проверяете эту политику безопасности в поисках улуч- шений?» Теперь мы подошли к тому моменту, когда можем с уверенностью сделать вывод, что политика безопасности – это живой документ, поэтому ее необходимо пересматривать и обновлять.
Политика безопасностидолжна включатьв себя отраслевые стандарты,про- цедуры и руководства,которые необходимыдля поддержки информационных рисковвповседневнойработе.Уэтойполитикитакжедолжнабытьчеткоопре- деленная область действия.
Крайне важно, чтобы была указана область применения политики безопас- ности. Например, если она относится ко всем данным и системам, это должно
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
|
|
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
180 |
Политика безопасности |
|
|
|
|
to |
|
|
|
|
|
|
||||||||
w Click |
|
w Click |
|
|
|
|
|
|
|
||||||||||||||||
|
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
быть понятно всем, кто ее читает. Еще один вопрос, который вы должны за- |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||||
|
|
|
|
|
|
дать: «Эта политикатакже распространяется на подрядчиков?» Независимо от |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
того, будет ответ «Да» или «Нет», он должен быть указан в разделе «Область |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
действия». |
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
В основе политики безопасности должна лежать триада безопасности (кон- |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
фиденциальность, целостность и доступность). Пользователи должны защи- |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
щать и гарантировать применение триады безопасности в данных и системах, |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
что не зависит оттого,как данные создавались,передавалисьдругим или хра- |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
нились.Пользователи должны осознавать свои обязанности и последствия на- |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
рушения политики безопасности. Убедитесь, что вы также включили раздел, |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
который определяет роли и обязанности, т. к. это очень важно для подотчет- |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
ности. |
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
Также важно прояснить, какие документы участвуют в общей политике |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
безопасности |
, поскольку их больше одного. Убедитесь, что все пользователи |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
понимают разницу между приведенными ниже документами. |
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
Политика – это основа всего, она устанавливает ожидания высокого |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
уровня,атакже будетиспользоваться для принятия решений и достиже- |
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
ния результатов. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Процедура – как следует из названия, это документ, содержащий про- |
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
цедурные этапы, которые описывают, как следуетделать что-либо. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Стандарт – этот документ устанавливает требования, которые должны |
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
соблюдаться. Другими словами, каждый должен соблюдать определен- |
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
ные стандарты, которые были установлены ранее. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Руководящие принципы – хотя многие утверждают, что руководящие |
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
принципы не являются обязательными,на самомделе это скореедопол- |
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
нительное рекомендуемое руководство. При этом важно отметить, что |
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
каждая компания может свободно определять, являются ли руководя- |
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
щие принципы необязательными или они рекомендованы. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Передовой опыт – как следует из названия, это опыт, который должен |
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
применяться всей компанией или только некоторыми ее подразделе |
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
ниями.Также можно установить это по ролям.Например,все веб-серве |
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
рыдолжныиспользоватьпередовыепрактикивобластибезопасностиот |
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
поставщика, применяемые до развертывания в рабочей среде. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Чтобы убедиться, что все эти моменты синхронизированы, управляются |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
ипользуютсяподдержкойвысшегоруководства,необходимосоздатьпрограм- |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
му безопасности для всей организации.В публикации NIST 800-53 предлагает- |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
ся следующий тип отношений между объектами контроля над безопасностью |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
в организации. |
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
Понадобитсяцелаякнига,чтобыобсудитьвсеэлементыэтойдиаграммы.По |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
этому мы настоятельно рекомендуем вам прочитать публикацию NIST 800-53, |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
если вам нужна дополнительная информация, касающаяся этих областей. |
|
|
|
|
|
|
|
|
|
|
|
||||||||