权限升级攻击：解释以及如何防范

权限升级攻击是当今大多数网络威胁的关键要素。让我们探讨一下这些攻击是什么、对手如何执行这些攻击以及防御这些攻击的有效策略。

什么是权限提升攻击？

权限升级攻击是网络内部的对手试图获得额外的访问权限。特别是，这些攻击通常旨在获得对管理帐户的控制，这些帐户比普通用户帐户具有更大的权力。

人们通常认为权限升级攻击是在网络中站稳脚跟的外部威胁行为者所使用的工具。但它们也是由恶意内部人员发起的，例如心怀不满、想要损害组织的员工或想要窃取知识产权 (IP) 或个人身份信息 (PII) 以谋取个人利益的承包商。

什么是权限提升？

更准确地说，特权升级是对手在网络攻击过程中可以使用的一种策略。 MITRE ATT&CK 矩阵详细介绍了构成所谓网络杀伤链的 14 种策略。在较高的层面上，这些策略可以分为三类（特权升级属于第二类）：

• 进入——首先，攻击者需要进入受害者的网络。通过使用侦察和初始访问等策略，他们可能会利用社交媒体来识别在潜在目标公司工作的个人，并策划有效的网络钓鱼或鱼叉式网络钓鱼活动来窃取他们的凭据。或者他们可以使用更简单的方法，例如暴力破解密码攻击，甚至向员工提供最终的赎金，以换取他们提供公司凭据。 （当然，恶意内部人员可以完全跳过此阶段，因为他们已经在网络内部。）
• 四处走动——网络犯罪分子一旦进入内部，就会有几个关键目标：保持访问权限、扩大影响范围、找到有价值的资源并保持不被发现。权限升级攻击是此阶段的重要组成部分。但对手还有许多其他战术可供使用，包括持久性、横向移动、发现和防御规避。
• 完成任务——一旦对手找到有价值的资产并有权访问它们，他们就可以完成任务。如果他们的最终目标是窃取数据，他们会使用渗透技术，例如将数据传输到物理 USB 设备或他们控制的云帐户。如果要操纵、中断或破坏您的系统和数据，他们可以选择各种影响技术，从加密数据到擦除整个磁盘再到关闭系统。他们可能会采取措施消除自己的足迹，并留下后门（例如用户帐户、特洛伊木马、rootkit 和硬件设备），以便以后能够重新进入网络。

权限提升攻击的示例

特权升级攻击的一个特别相关的例子是勒索软件。人们普遍误解勒索软件一旦部署在网络中就会运行。如今，许多勒索软件攻击都是人为操作，其中权限升级起着关键作用。让我们将这种攻击映射到我们刚刚描述的框架上：

• 侵入——勒索软件攻击通常以网络钓鱼活动开始：犯罪分子向组织内部的用户发送电子邮件，诱使他们访问恶意网站，并诱骗他们提供登录凭据。通过使用这些凭据登录，犯罪分子现在在网络中站稳了脚跟。
• 四处移动 - 但是，它们运行的任何勒索软件只能加密受感染的用户帐户有权访问的文件。虽然这可能会给目标组织带来不便，但不太可能导致网络犯罪分子寻求巨额赎金。因此，勒索软件运营商会进行权限升级攻击，以稳定地获得对整个 IT 生态系统中其他（且更有价值）数据的更高级别的访问权限。
• 完成任务 - 一旦他们有能力造成严重损害，最大限度地提高勒索付款的机会，攻击者就会释放勒索软件并要求付款。

权限升级攻击绝不限于勒索软件活动。事实上，它们是大多数网络攻击的关键要素，无论目标是加密数据、窃取内容还是破坏业务运营。攻击者通常从相对有限的权限开始，因此他们需要执行权限升级才能定位和访问受害者组织最敏感的系统和数据。

水平与垂直特权升级

有时，权限升级被描述为水平或垂直：

• 水平权限提升是试图获得对具有与他们已经拥有的类似访问级别的另一个帐户的控制权。然而，更准确的说法是称之为横向移动，而不是权限升级，因为攻击者并没有将他们的权限升级到更高的级别。
• 垂直权限提升是指攻击者试图将其访问权限提高到比当前更高的级别。这些是真正的特权升级攻击。

权限提升攻击如何运作？

用于权限升级的主要技术之一是滥用合法帐户。恶意行为者有两个主要选择：

接管具有更高权限的不同帐户。

一些权限升级攻击的目的是危害比对手当前控制的更强大的帐户。收购目标包括：

• 有权访问更有价值的数据或系统的用户帐户 - 例如属于高管、法律团队或财务官员的帐户。
• 本地管理员帐户 - 这些帐户对特定计算机具有完全控制权。
• 服务帐户 - 服务帐户用于运行服务和应用程序，包括 Exchange、SharePoint、SQL Server 和 Internet 信息服务 (IIS) 等基本工作负载。
• 管理员帐户 - 攻击者的圣杯是危害域管理员或企业管理员等高特权组成员的帐户。

不幸的是，盗用帐户可能非常容易。特别有价值且容易受到攻击的是系统内置的默认帐户（例如 Windows 上的来宾帐户和管理员帐户）、服务帐户以及 AWS 等云服务中的根用户帐户。通常，这些帐户会保留在系统部署期间建立的默认用户名和密码，因此对手很容易就能控制它们。

同样面临高风险的还有密码较弱的用户帐户或所有者在各个站点重复使用的密码，特别是如果它们仅通过单因素身份验证来保护的话。攻击者还可以从计算机的 LSASS 内存中获取散列密码，并使用它们执行传递散列攻击，在攻击中，他们以 Active Directory 帐户身份进行身份验证，而无需知道帐户的明文密码（用户输入要记录的实际字符串）在）。事实上，如果 IT 专业人员使用管理员帐户登录工作站，LSASS 内存可能成为恶意行为者的金矿。

增加他们已控制的帐户的访问权限。

对手还可以执行权限升级攻击，以增加他们已经受到损害的帐户的权限。不幸的是，这也可能非常简单。使用名为 BloodHound 的开源工具，攻击者可以快速绘制出 Active Directory 环境中的所有攻击路径。攻击路径是一系列操作，可以使攻击者获得管理权限，甚至完全控制 IT 环境。这些步骤可能涉及滥用隐藏权限、嵌套组成员身份和 AD 架构中固有的安全漏洞等。

组织通常有数百甚至数千个这样的攻击路径，其中许多可能只涉及少数步骤。 BloodHound 将详细列出它们。

权限升级攻击中使用的其他技术

除了滥用有效帐户之外，还有许多其他特权升级技术。通常，他们依赖于利用目标网络中的弱点和漏洞，例如软件错误、错误配置和不正确的访问控制。事实上，MITRE 知识库列出了一整套可用于权限升级攻击的技术。这里只是其中的一些。

滥用海拔控制机制

如今，大多数系统都包含旨在限制用户可以执行的操作并要求对风险较高的任务进行授权的机制。但对手可以使用各种技术来滥用或绕过这些内置控制机制。

例如，Windows 用户帐户控制 (UAC) 可以在允许程序提升其权限之前提示用户进行确认。但攻击者可以使用权限升级攻击，通过点击提示来完成所需的操作。

访问令牌操作

Windows 使用访问令牌来确定正在运行的进程的所有者，并检查该用户是否具有足够的权限来执行请求的操作。通过操纵这些令牌，恶意行为者可以欺骗系统相信该进程属于不同的用户，从而授予它该用户的权限。

域策略修改

权限提升攻击中使用的另一种技术是修改域的配置设置。特别是，攻击者可以通过修改组策略对象 (GPO) 来升级其权限。例如，他们可能会禁用 GPO，以获得运行特定应用程序的权限。

供应链和特权升级攻击

权限升级攻击提供了多种理由来密切关注您的供应链。攻击者可以滥用第三方提供的软件、硬件和服务，在您的网络中获得立足点，并利用该立足点来提升自己的特权。组织应验证其供应链中的每个元素都是可信的，因为供应商发出的更改可用于通过代理建立立足点。

请记住，计算机芯片、物联网设备和其他硬件也可能包含促进权限升级的漏洞。例如，Meltdown 和 Spectre 利用现代处理器中的漏洞窃取可用于权限升级的数据，例如存储在浏览器或密码管理器中的密码。虽然其中一些缺陷是无意的，但其他缺陷可能是民族国家或其他有组织的恶意行为者故意植入的。例如，中国电信公司华为面临北京可能利用其 5G 基础设施从事间谍活动的指控。

如何预防和阻止权限升级攻击

先决条件：了解您的 0 级资产。

由于权限升级攻击可以使恶意行为者获得对更有价值的 IT 资产的更高级别的访问权限，因此阻止这些攻击至关重要。多种工具可以帮助实现这一目标，包括身份和访问管理 (IAM) 以及特权访问管理 (PAM) 解决方案。

虽然简单地开始实施解决方案可能很诱人，但退后一步进行战略性思考是明智之举。第一个任务必须是了解网络攻击的目标是达到您的关键系统和数据，通常是通过危害您环境中最强大的帐户来实现。这些称为您的第 0 层资产，了解它们是防御特权升级攻击的关键的第一步。

在 Active Directory 环境中，第 0 层资产包括域控制器 (DC) 和其他功能强大的服务器，以及对 AD 林、域或 DC 具有直接或间接管理控制权的所有帐户。您可能会想到的帐户是属于您的 IT 专业人员的帐户。但很多时候，强大的安全组（例如域管理员和企业管理员）拥有大量成员。一个常见的例子是服务帐户，因为供应商经常声称他们的应用程序需要这些提升的权限。

请注意，我说的是“直接或间接控制”。 ” 发现可以获得更高权限的帐户也很重要，例如域管理员的成员身份。如前所述，此过程中涉及的步骤称为攻击路径。因此，绘制环境中的攻击路径对于准确了解第 0 层资产至关重要。

强制执行最小特权。

一旦您获得了第 0 层资产的完整清单，下一个工作就是最大限度地减少它们，以减少您的攻击面。目标是强制执行最小权限原则，该原则规定每个帐户仅被授予其执行任务所需的访问权限。

最小化特权安全组的成员资格相当简单（尽管不一定容易！）。除了删除员工和承包商的用户帐户之外，您可能还需要阻止那些要求服务帐户拥有过多权限的供应商。

减少第 0 层资产有助于防止权限升级攻击，而且还有助于检测这些攻击。我稍后将讨论事件检测，但值得一提的是，您需要监控的第 0 层资产越少，就越容易密切关注它们并发现真正的威胁。

切断攻击路径。

将最低权限任务扩展到具有间接管理权限的帐户非常重要。通过攻击路径管理，您可以规划出这些间接路径来控制您的环境并查明它们共享的阻塞点。通过缓解这些瓶颈，您可以大大减少权限升级的机会。有关更多信息，请查看电子书“通过攻击路径管理提升 Active Directory 安全性。 ”

管理身份生命周期。

管理身份生命周期涉及控制帐户配置、重新配置和取消配置。确保您向新用户授予他们所需的访问权限，并且当用户在组织内更改角色和项目完成时，帐户最终不会拥有旧权限。

取消配置也很重要。特权升级攻击的一个关键目标是孤立帐户——它们的所有者没有注意到它们已被劫持，但它们已经存在于系统中，因此使用它们不太可能引起警报。

建立强有力的凭证管理。

正如我们所见，权限升级攻击通常涉及凭证泄露。有助于防止对手接管帐户的策略包括实施强密码策略以及消除默认和硬编码凭据。多因素身份验证 (MFA) 可能会使受损的凭据变得无用，因此请务必为特权帐户使用它。

使用托管服务帐户 (MSA)。

为了降低服务帐户在权限升级过程中被接管的风险，可以使用独立托管服务帐户 (sMSA) 或组托管服务帐户 (gMSA)。 MSA 提供自动密码管理，以确保服务帐户密码（及其哈希值）定期更改，并且限制 gMSA 交互使用。

强化系统和应用程序。

对手经常利用错误配置和漏洞来提升他们的访问权限。请务必根据最佳实践配置您的系统和应用程序，主动查找和缓解漏洞，并及时了解更新和补丁管理。

此外，您可以使用变更管理解决方案主动阻止对关键帐户、安全组和组策略对象的更改，从而阻止许多权限升级攻击。

实施供应链风险管理。

请务必仔细审查在 IT 生态系统中发挥作用的所有业务合作伙伴、供应商和其他第三方，无论他们提供服务、硬件、本地软件、物联网设备、云应用程序还是其他组件。您的目标应该是自己实施强大的供应链风险管理策略，并尽可能只与也拥有该策略的组织开展业务。

为什么预防措施还不够

重要的是要记住，即使是最好的预防措施也无法阻止所有特权升级攻击。因此，实施深度防御策略非常重要，该策略还可以解决威胁检测和响应以及企业备份和恢复问题。

IT 环境中的审计活动。

请务必持续监控可疑活动，这些活动可能表明试图提升权限或帐户已被泄露。 如前所述，最大限度地减少第 0 级资产可以帮助您将与最关键资产相关的活动归零（请原谅我用双关语）。

如果存在您已识别但尚未能够缓解的攻击路径，请务必特别密切地观察它们（这称为攻击路径监控）。

构建（并测试）全面的企业备份和恢复策略。

万一出现最坏的情况，您还需要能够快速恢复 IT 环境。请记住，Active Directory 备份和恢复是一个关键因素；如果您的 Active Directory 发生故障，授权和身份验证将无法进行，因此您的业务将陷入停滞。考虑适合您的组织的 Active Directory 备份方法，并确保您的 Active Directory 恢复解决方案不会随您的系统一起恢复恶意软件和后门！

结论

权限升级是对手在网络攻击过程中使用的关键策略。为了实现他们的目标——无论是窃取数据、释放勒索软件还是瘫痪系统——他们需要获得对最重要的系统和数据的高级别访问权限。防御特权升级攻击需要采用深度防御策略，强调识别、减少和锁定第 0 层资产，以及实施有效的审计和灾难恢复策略。