مشاهده نسخه کامل
: arman60
15-06-2011, 20:17
ELEVATION OF PRIVILEGE
EOP يكي از روش های نفوذی و تهدیدات امنیتی ست که هدف این نوع حملات، بالا بردن سطح دسترسی و بهره وری از امتیازات مدیریتی در یک اکانت محدود و limit شده می باشد.
در واقع یکی از پیچیده ترین و همچنین کارآمدترین حملات، Elevation Of Privilege می باشد.
با بکار گیری از این روش ها می توانید دسترسی محدود خود را همسان با دسترسی و امتیازات يك مدیر شبکه کنید و اختیارات مدیریتی را در دست بگیرید، بنابراین با این امتیازات جعل شده هر کاری که یک کاربر می توانسته انجام دهد را میتوان انجام داد که شامل باز کردن فایل ها، تغییر یوزر اکانت ها و یا به طور کل تخریب اکتیو دایرکتوریست.
اغلب حملات انجام شده توسط هکرها و مهاجمان، حملاتی از نوع بالابری سطح دسترسی یا همان EOP بوده به طوری که یک هکر برای نفوذ به یک شبکه یا سایت مورد نظر در گام نخست به هر ترتیبی که هست به عنوان یکی از اعضای عادی و معمولی سایت قرار می گیرید تا بتوانید با استفاده از این نوع روش های نفوذی، دسترسی های خود را تا مرز مدیریتی بالا ببرید.
نکته خیلی مهم
زمانی که کاربر وارد سیستم میشود، سیستم شماره شناسایی مخصوصی برای کاربر مشخص می کند، این شماره شناسایی Security Identifier یا همان SID می باشد. و نکته مهم اینکه SID تشخیص دهنده ی سطح دسترسی کاربر می باشد.
دو جزء کلیدی برای یک حمله EOP، Access Token و SID History می باشد.
Access Token بهطوری اساسی از SID هاي كاربري و گروه هایست که کاربر به عنوان Member ىرآن قرار داد.
SID History يكي از featureهاي اكتيو ىايركتوريست كه تغييرات Object SID را به عنوان Object Moveاز یک دومین به دومین دیگری منتقل میکند.
وقتی یک کاربر وارد سیستم میشود، Access Token كاربر، شامل SID كاربري اوست كه جىا از امتیازات و سطح دسترسی شخصی اش، امکان این هست که آن کاربر عضو گروه های مختلفی باشد(
و سطح دسترسی متفاوتی در آن گروه ها داشته باشد)، پس در نتیجه SID او شامل اطلاعاتی در مورد سطوح دسترسی آن کاربر است.
این دو جزء یعنی Access Token وSID History تشخيص میدهند که چه کاربری می تواند به شبکه دسترسی پیدا کند و چه درجه ای از دسترسی را خواهد داشت.
مهاجم باید قادر به تشخیص دادن SID ها از یکدیگر باشد، یعنی بداند که چه SIDي مربوط به چه کاربریست، به هر حال پس از بدست آوردن SID يك مدیر، حمله کننده باید SID بدست آمده را به لیست SID History خود اضافه كند.
با انجام این کار به کاربر امتیازاتی داده خواهد شد که برابر کاربریست که SID آن مورد سرقت قرار گرفته است.
تفاوت انداره نقش بزرگی در ماهیت این نوع حملات ایفا می کند.
این نوع حملات بیشتر در سازمان های بزرگ با دومین های مدیریتی چند گانه صورت میگیرد، در یک شرکت کوچک Object هاي کاربری و حق دسترسی کمتری وجود دارد، در نتیجه مهاجم امکان کمتری برای بدست آوردن یک SID ىارد. حملات EOP در محیط های بزرگ بهتر کار میکند چون ارتباطات زیادی در شبکه های وسیع و در بین Forest Domain ها وجود دارد و شما می توانید یک SID مدیریتی را از دومین دیگری بدست آورید و در دومین خود مورد استفاده قرار دهید.
SID Filtering
يكي از راههای مقابله با حملات EOP، پیاده سازی SID Filtering است که همراه با ویندوز سرور 2003 به بازار عرضه شد.
برخی از SID هایی که در Access Token كاربر هست ممکن است توسط دومینی که آن کاربر را Authenticateکرده، ساخته نشده باشند،یعنی آن کاربر، آن SID را از دومینی دیگر به سرقت برده و میخواهد با سطح دسترسی آن SID، در دومین خود به مقاصدش برسد.
حالا با پیاده سازی SID Filteringاین امکان برای ما فراهم میشود تا بتوانیم SID هایی که SID های اصلی کاربر نیستند فیلتر شوند،هر SID شامل SID ىاميني ست كه از آن نشات گرفته است، بنابراین وقتی کاربر لیست SID ها را در Access Token ارائه میدهد، SID Filtering آنها را بررسی میکند و از دومینی که آن کاربر را Authenticate کرده می خواهد تمام SID هایی که منشا آنها از دومین های دیگریست جلوگیری کرده و آنها را دور بریزد.
ایشالا کمک کرده باشه به بهبود سطح علمی شما خواننده عزیز
(Director: (Arman60:5:
EOP يكي از روش های نفوذی و تهدیدات امنیتی ست که هدف این نوع حملات، بالا بردن سطح دسترسی و بهره وری از امتیازات مدیریتی در یک اکانت محدود و limit شده می باشد.
در واقع یکی از پیچیده ترین و همچنین کارآمدترین حملات، Elevation Of Privilege می باشد.
با بکار گیری از این روش ها می توانید دسترسی محدود خود را همسان با دسترسی و امتیازات يك مدیر شبکه کنید و اختیارات مدیریتی را در دست بگیرید، بنابراین با این امتیازات جعل شده هر کاری که یک کاربر می توانسته انجام دهد را میتوان انجام داد که شامل باز کردن فایل ها، تغییر یوزر اکانت ها و یا به طور کل تخریب اکتیو دایرکتوریست.
اغلب حملات انجام شده توسط هکرها و مهاجمان، حملاتی از نوع بالابری سطح دسترسی یا همان EOP بوده به طوری که یک هکر برای نفوذ به یک شبکه یا سایت مورد نظر در گام نخست به هر ترتیبی که هست به عنوان یکی از اعضای عادی و معمولی سایت قرار می گیرید تا بتوانید با استفاده از این نوع روش های نفوذی، دسترسی های خود را تا مرز مدیریتی بالا ببرید.
نکته خیلی مهم
زمانی که کاربر وارد سیستم میشود، سیستم شماره شناسایی مخصوصی برای کاربر مشخص می کند، این شماره شناسایی Security Identifier یا همان SID می باشد. و نکته مهم اینکه SID تشخیص دهنده ی سطح دسترسی کاربر می باشد.
دو جزء کلیدی برای یک حمله EOP، Access Token و SID History می باشد.
Access Token بهطوری اساسی از SID هاي كاربري و گروه هایست که کاربر به عنوان Member ىرآن قرار داد.
SID History يكي از featureهاي اكتيو ىايركتوريست كه تغييرات Object SID را به عنوان Object Moveاز یک دومین به دومین دیگری منتقل میکند.
وقتی یک کاربر وارد سیستم میشود، Access Token كاربر، شامل SID كاربري اوست كه جىا از امتیازات و سطح دسترسی شخصی اش، امکان این هست که آن کاربر عضو گروه های مختلفی باشد(
و سطح دسترسی متفاوتی در آن گروه ها داشته باشد)، پس در نتیجه SID او شامل اطلاعاتی در مورد سطوح دسترسی آن کاربر است.
این دو جزء یعنی Access Token وSID History تشخيص میدهند که چه کاربری می تواند به شبکه دسترسی پیدا کند و چه درجه ای از دسترسی را خواهد داشت.
مهاجم باید قادر به تشخیص دادن SID ها از یکدیگر باشد، یعنی بداند که چه SIDي مربوط به چه کاربریست، به هر حال پس از بدست آوردن SID يك مدیر، حمله کننده باید SID بدست آمده را به لیست SID History خود اضافه كند.
با انجام این کار به کاربر امتیازاتی داده خواهد شد که برابر کاربریست که SID آن مورد سرقت قرار گرفته است.
تفاوت انداره نقش بزرگی در ماهیت این نوع حملات ایفا می کند.
این نوع حملات بیشتر در سازمان های بزرگ با دومین های مدیریتی چند گانه صورت میگیرد، در یک شرکت کوچک Object هاي کاربری و حق دسترسی کمتری وجود دارد، در نتیجه مهاجم امکان کمتری برای بدست آوردن یک SID ىارد. حملات EOP در محیط های بزرگ بهتر کار میکند چون ارتباطات زیادی در شبکه های وسیع و در بین Forest Domain ها وجود دارد و شما می توانید یک SID مدیریتی را از دومین دیگری بدست آورید و در دومین خود مورد استفاده قرار دهید.
SID Filtering
يكي از راههای مقابله با حملات EOP، پیاده سازی SID Filtering است که همراه با ویندوز سرور 2003 به بازار عرضه شد.
برخی از SID هایی که در Access Token كاربر هست ممکن است توسط دومینی که آن کاربر را Authenticateکرده، ساخته نشده باشند،یعنی آن کاربر، آن SID را از دومینی دیگر به سرقت برده و میخواهد با سطح دسترسی آن SID، در دومین خود به مقاصدش برسد.
حالا با پیاده سازی SID Filteringاین امکان برای ما فراهم میشود تا بتوانیم SID هایی که SID های اصلی کاربر نیستند فیلتر شوند،هر SID شامل SID ىاميني ست كه از آن نشات گرفته است، بنابراین وقتی کاربر لیست SID ها را در Access Token ارائه میدهد، SID Filtering آنها را بررسی میکند و از دومینی که آن کاربر را Authenticate کرده می خواهد تمام SID هایی که منشا آنها از دومین های دیگریست جلوگیری کرده و آنها را دور بریزد.
ایشالا کمک کرده باشه به بهبود سطح علمی شما خواننده عزیز
(Director: (Arman60:5: