目前,主流的操作系统和业务系统都是依靠权限管理来限制不同的用户和设备访问系统应用功能、业务数据和配置服务。因此,访问权限是一项关键的安全功能,可控制用户访问和使用系统或应用程序及相关资源的程度。通过对多起安全事件的观察,发现下级权限会限制攻击者的访问活动,无法进行获取Hash、安装软件、修改防火墙规则、修改注册表等各种操作。特权升级攻击,在获得更高的访问权限后,进行其他更具破坏性的攻击。提权攻击的类型和原理提权攻击的目的是获取网络或在线服务中许多系统和应用程序的额外权限。攻击主要分为两类:1.水平提权。此类攻击主要用于获取更多同级别账号的权限。攻击者成功获取现有用户或设备账号后,会通过各种渠道进入并控制更多的其他用户账号。虽然这个技巧不一定会给黑客带来更高级别的特权,但如果黑客收集了大量目标用户数据和其他资源,它可能会对受害者造成进一步伤害。某些系统漏洞可能导致跨站点脚本、跨站点请求伪造和其他类型的攻击,以获取其他用户的登录凭据或身份验证数据并获得对帐户的访问权限。2.垂直权限提升。这是一种更危险的特权升级攻击,因为攻击者可能能够控制整个网络。通常是多阶段网络攻击的第二阶段。攻击者利用系统错误配置、漏洞、弱密码和弱访问控制来获得管理权限;通过这种特权,他们可以反过来访问网络上的其他资源。一旦拥有更强大的权限,攻击者就可以安装恶意软件和勒索软件、更改系统设置并窃取数据。以下是恶意攻击者实施提权攻击的常用方法。前两种方法多用于水平提权攻击。但是根据攻击者的最终目的分析,很多被攻击的账号最终都是为了垂直提权。?社会工程攻击社会工程攻击(包括网络钓鱼、水坑攻击和域欺骗)通常用于诱骗用户泄露其帐户凭据,对于此类攻击,攻击者无需发起复杂的攻击即可绕过系统安全防御。?弱密码窃取弱密码、重复使用密码或共享密码是攻击者获得未经授权访问帐户的捷径。如果账户拥有管理权限,整个网络应用系统将立即面临被严重破坏的危险。?如果安全设置松懈或随波逐流,配置错误的系统也可能使攻击者有机会获得过多的特权,例如在具有公共访问权限的云存储桶中。不正确配置的网络防御,例如防火墙和开放和未受保护的端口,以及重要帐户的默认密码和新安装应用程序的不安全默认设置(这两者在物联网设备上都特别常见),这为攻击者提供了可乘之机以获得额外的特权。?恶意软件攻击有多种类型的恶意软件可以窃取用户密码,例如键盘记录器、内存抓取器和网络嗅探器。一旦恶意软件进入网络并获得对受感染帐户的访问权限,它就会引发更危险的攻击。?系统漏洞系统设计、实现或配置中任何暴露的漏洞都可能允许攻击者通过执行恶意代码获得shell访问权限,从而获得帐户权限。防止权限升级攻击的六种方法与任何网络攻击一样,权限升级攻击将利用网络上运行的许多服务和应用程序的漏洞,尤其是那些访问控制薄弱的服务和应用程序。特权升级通常是全面网络攻击的关键阶段。组织需要采取有效的安全控制措施来防止此类攻击并定期维护。以下6种方法可以帮助企业IT系统更好地应对提权攻击的威胁和挑战。1.实施最小权限原则实施最小权限原则,将用户和服务的访问权限限制在最低限度,可以减少攻击者获得管理级权限的机会。安全团队和人力资源部门应紧密合作,实现统一的权限管理,防止不必要的权限蔓延,尽量减少权限账户的数量和范围,监控和记录账户活动,这也有助于标记任何潜在的滥用行为,提前识别攻击风险.2、及时打补丁和修复及时打补丁和修复可以减少攻击者发现可利用漏洞的机会,是防范任何一种网络攻击的最好方法。全面的补丁管理策略可以使攻击者更难利用系统和应用程序漏洞。特别是,企业应定期更新浏览器和防病毒软件。3.执行漏洞扫描定期扫描IT基础设施的所有部分/组件以查找漏洞将使已经在网络中的潜在攻击者更难在网络中立足。漏洞扫描发现错误配置、未记录的系统更改、未打补丁或不安全的操作系统和应用程序以及其他缺陷,远在潜在攻击者实际发起攻击之前就可以真正被利用。4.监控网络流量和行为如果攻击者成功获得了网络用户的凭据,他的行踪通常很难被发现,除非持续监控网络是否存在异常流量或异常用户行为。用户和实体行为分析(UEBA)软件可以为合法行为建立基线,标记异常用户活动,并发现对某些受感染帐户的潜在威胁。5.拥有强大的密码策略密码策略是防止横向权限升级攻击的有效方法,尤其是与多因素身份验证(MFA)结合使用时。第三方密码管理工具可以帮助用户生成并安全地存储符合安全策略规则的唯一且复杂的密码。所有具有管理权限的帐户都应该需要MFA,并且用于机器身份验证的数字凭证应该定期轮换。6.进行安全意识培训人们往往是任何组织安全中最薄弱的环节。他们可能会在不知不觉中通过使用弱密码、点击恶意链接或附件以及忽略有关危险网站的警告来促进权限升级攻击。定期的安全意识培训可确保清楚地解释新威胁并牢记安全策略。应强调共享帐户和凭据带来的危险和风险。特权升级攻击是最严重的攻击之一。一个训练有素的应急计划是必不可少的。如果发现权限提升事件,必须迅速隔离被入侵的帐户,更改密码并禁用帐户。然后,安全团队必须进行深入调查,以发现攻击的范围并确定受到威胁的资源。
