Анализ атак на повышение привилегий | Статья в журнале «Молодой ученый»

Библиографическое описание:

Ананьин Е. В., Кожевникова И. С., Лысенко А. В., Никишова А. В. Анализ атак на повышение привилегий // Молодой ученый. — 2016. — №28. — С. 8-10. — URL https://moluch.ru/archive/132/36737/ (дата обращения: 16.11.2018).



Атаки на повышение привилегий — это такие атаки, в которых злоумышленник эксплуатирует ошибку в программном обеспечении, чтобы получить доступ к ресурсу, который обычно защищен от приложения или пользователя, что приводит к изменению привилегий для выполняемых вредоносных действий, которые осуществляются с большими привилегиями, чем предполагалось разработчиком приложения и системным администратором [1]. Известные атаки в этом типе в можно разделить на две категории:

  1. Вертикальное повышение привилегий — от пользователя до суперпользователя [2]: низкопривилегированный пользователь с обычной учетной записью в системе использует уязвимости ПО для доступа к функциям или данным, которые доступны только для более привилегированных пользователей или суперпользователей.
  2. Горизонтальное повышение привилегий — от не-пользователя системы к пользователю: обычный пользователь с обычным доступом или без какой-либо учетной записи в системе, использует некоторую уязвимость системы или ПО для того, чтобы получить доступ к функциям или контенту, доступные для других обычных пользователей [3].

Некоторые примеры хорошо известных атак на повышение привилегий описаны в данной статье.

Атаки на переполнение буфера.

Буфер представляет собой непрерывный участок памяти, такой как массив или указатель в языке Cи. Частым явлением является то, что в ПО нет автоматических проверки границ буфера. Переполнение происходит, когда программа или процесс пытается хранить больше данных в буфере, чем было зарезервировано для хранения. Поскольку буферы создаются для хранения конечного количества данных, избыточная информация должна куда-то записаться, что приводит к записи в соседние ячейки памяти, и тем самым портит и перезаписывает данные, хранящиеся в них. Для выполнения атаки на переполнение буфера и используют эту уязвимость и в соседние ячейки помещают код, который злоумышленник пытается выполнить в переполненной зоне буфера. Атакующий затем перезаписывает адрес возврата функции, чтобы он указывал обратно в буфер и выполнил код, предназначенный для запуска некоторых действия, таких как запуск оболочки shell с правами суперпользователя, уничтожение пользовательских файлов, изменение данных, или разглашение конфиденциальной информации.

Широко известная атака на переполнение буфера была проведена на Microsoft Outlook и Outlook Express в 2000 году [4]. Из-за ошибки в коде, сделанной Microsoft, злоумышленники были способны выполнить любой код на компьютере-жертве, просто отправив письмо по электронной почте. В отличие от других типичных почтовых вирусов, пользователи не могли защитить себя, не открывая вложенные файлы, поскольку уязвимость была в алгоритме обработки заголовка сообщения, поэтому вредоносный код выполнялся в системе в тот самый момент, как письмо загружалось с сервера. Некоторые другие хорошо известные атаки на переполнение буфера для повышения привилегий использовали Sendmail, который переполняет буфер в алгоритме декодирования MIME в Sendmail (SMTP)-службы на системах с Linux и IMAP, которая использует ошибку в коде авторизации транзакции входа в систему из IMAP-службы на Linux-системах.

Типичные меры противодействия для атак на переполнение буфера состоит из написания безопасного кода, обеспечения неисполнимости стека, встроенных проверок на безопасность в компиляторе. Тем не менее, ни одно из перечисленных решений не может полностью исключить проблему переполнения буфера из-за стандартного framework языка программирования Cи и недостатка опыта программирования разработчика программного обеспечения.

Атаки на системы снеправильной конфигурацией

Каждая система безопасности должна быть настроена администратором для некоторых параметров, чтобы применить необходимую часть политики безопасности и гарантировать, что система предоставляет только те функциональные возможности, в которых нуждаются пользователи. Как правило, это означает, включение только необходимых частей системы и отключение прочих [5]. Проблема может возникнуть, когда администратор забывает отключить ненужные пользователю части системы. Любая неверная или незавершенная настройка системы может быть использована злоумышленниками для того, чтобы преодолеть защитный барьер или узнать о возможной уязвимости в системе. В результате неправильная настройка системы или неустановленное вовремя обновление ПО, стала одним из самых значительных уязвимостей предприятий, с которым сталкиваются в последнее время, и прогноз показывает, что на такие атаки приходиться 70 % успешных атак WLAN в течение 2009 года.

Некоторые хорошо известные примеры таких атак — bruteforce атака на FTPWrite. Злоумышленник знает имя пользователя и подбирает пароля из списка возможных паролей. Если администратор не меняет имя пользователя и пароль по умолчанию, угадать возможные пароли будет очень легко. Brute-force атака может быть обнаружена и предотвращена путем установки максимального числа неудачных попыток входа для каждой службы или при необходимости вставляя некоторую задержку между двумя последовательными попытками входа в систему. Другой атакой на FTP является использование гостевой учетной записи. При неправильно настроенных правах гостевого пользователя и директорий, гость сможет создавать и загружать в директории других пользователей и суперпользователя файлы, например файл rhosts, который позволит получить злоумышленнику доступ к системе с большими правами нежели доступны гостевой учетной записи. Мониторинг гостевых аккаунтов и отслеживание создаваемых ими файлов легко пресечет такого рода атаку.

«Состояние гонки»

Состояние гонки — ошибка проектирования многопоточной системы или приложения, при которой работа системы или приложения зависит от того, в каком порядке выполняются части кода. Своё название ошибка получила от похожей ошибки проектирования электронных схем. Состояние гонки — «плавающая» ошибка, проявляющаяся в случайные моменты времени и «пропадающая» при попытке её локализовать.

Хорошо известный пример это атака при входе пользователя в старых версиях Unix-систем, в которой, когда создается новый процесс «login», существует короткий промежуток времени, когда новый процесс выполняется в режиме приоритета (kernel или root) и еще не переключился на нормальный режим работы пользователя [6]. В это время, если пользователь несколько раз нажал кнопку «ESC» во время входа в систему, то возможно, что будет отменено изменение от root к user, давая человеку полные права и доступ ко всей системе. Появления такой уязвимости зависело только от того, была ли нажата клавиша «ESC» до или после перехода системы к пользовательскому режиму.

Другие возможные места, где может появляться такая уязвимость — открытие и проверку shell или пакетный файл, выполнение подпрограммы, проверка пароля или проверка имени пользователя. В некоторых операционных системах, первоначальная проверка производится для того, чтобы проверить безопасность оболочки shell или исполняемого файла. После подтверждения, файл передается другому процессу для выполнения. В течение этого короткого временного окна, злоумышленник может иметь возможность заменить подтвержденный файл другим, что позволяет свободно выполнять вредоносные действия.

Наличие богатого опыта в написании многопоточных приложений у разработчика часто позволяет избежать состояний гонки потоков и процессов. Кроме того необходимо следить за обновлениями ПО, чтобы не допустить эксплуатацию атаки при нахождении ее злоумышленником.

Атака «Man-In-The-Middle»

Атака Man-In-The-Middle(MITM) является одной из форм активного перехвата в которой злоумышленник контролирует весь диалог между жертвами, делая независимое соединение с каждой жертвой, передавая сообщения между жертвами и имитировать, что они говорят непосредственно друг с другом по частной связи. Для того чтобы провести успешную атаку MITM, атакующий должен иметь возможность перехватывать все сообщения, идущие между двумя жертвами, вводить новые и выдавать себя за каждую конечную точку [7]. Хотя большинство криптографических протоколов или иной форме механизмов аутентификации конечных точек может предотвратить MITM-атаки, они все равно часто используются злоумышленником в любых сетях, например, атаки на пользователей в общедоступной беспроводной сети.

Сильный механизм шифрования является лучшей контрмерой против MITM-атак, например использование SSH вместо Telnet, механизмы шифрования файлов (например, PGP или Entrust), или контрольные суммы сеансов.

Литература:

  1. R. Albert, H. Jeong, and A. Barabasi, Error and attack tolerance in complex networks, Nature 406 (2000), 387–482.
  2. H. Aljifri, M. Smets, and A. Pons, IP traceback using header compression, Computers &Security 22 (2003), no. 2, 136–151.
  3. Никишова А. В. Программный комплекс обнаружения атак на основе анализа данных реестра // Вестник Волгоградского государственного университета. Серия 10. Инновационная деятельность. — 2012. — № 6. — С.152–155.
  4. Аткина В. С. Оценка эффективности катастрофоустойчивых решений // Вестник Волгоградского государственного университета. Серия 10. Инновационная деятельность.. — 2012. — № 6. — С. 45–48.
  5. S. M. Bellovin, M. Leech, and T. Taylor, ICMP traceback messages, (2000).
  6. V. Berk, G. Bakos, and R. Morris, Designing a framework for active worm detection on global networks, Proceedings of the IEEE InternationalWorkshop on Information Assurance (Darmstadt, Germany), 2003.
  7. N. Brent, G. Lee, and H. Weatherspoon, Netbait: a distributed worm detection service, Tech.Report IRB-TR-03–033, Intel Research Berkeley, September 2003.
Основные термины (генерируются автоматически): атака, переполнение буфера, MITM, система, пользователь, злоумышленник, повышение привилегий, гостевая учетная запись, программное обеспечение, FTP.


Похожие статьи

Сетевые атаки. Виды. Способы борьбы | Статья в сборнике...

Атака на переполнение буфера основывается на поиске программных или системных

Для атаки типа Man-in-the-Middle злоумышленнику нужен доступ к пакетам, передаваемым по

или FTP-сервер) атаки DoS могут заключаться в том, чтобы занять все соединения, доступные...

Анализ уязвимости переполнения буфера | Статья в журнале...

Одним из способов проникновения в компьютерные системы и нарушения их безопасности является использование различных уязвимостей программного обеспечения. Такие уязвимости могут принимать разнообразные формы: несовершенство протоколов...

Основные виды атак социальной инженерии | Статья в журнале...

В процессе «решения» такой проблемы, злоумышленник подталкивает жертву на совершение действий, позволяющих атакующему выполнить определенные команды или установить необходимое программное обеспечение на

Анализ атак на повышение привилегий.

Актуальность MiTM-атак в современных Wi-Fi-сетях

Атака «человек посередине» или «Man in the middle» (MiTM) — вид криптографической атаки, где злоумышленник перехватывает и подменяет сообщения, которыми обмениваются пользователи сети.

Анализ атак man in the middle. Анализ атак на повышение привилегий.

Исследование нейросетевых технологий для выявления...

На сегодня системы обнаружения вторжений (СОВ) обычно представляют собой программные или

U2R атаки предполагают получение зарегистрированным пользователем привилегий локального суперпользователя (сетевого администратора).

ftp_write.

Формализация процесса удаленного взлома информационной...

Можно узнать какая операционная система стоит, программное обеспечение и его версии.

Успешный эксплойт обеспечивает привилегированный доступ к целевой системе без учетных данных пользователя.

Проблемы информационной безопасности при использовании...

- переполнение буфера. - повышение привилегий и получение административного доступа. 3. Уровень СУБД, БД.

Ключевые слова. риск, угроза, защита информации, злоумышленник, ERP-система, атака.

Причины и источники сетевых аномалий | Статья в журнале...

При этом целью любой сетевой атаки является вторжение злоумышленника в систему и получение

перехват пакетов передающихся по сети в открытом виде (службы telnet, FTP, SMTP

злоумышленник может получить доступ к учетной записи системного пользователя...

Сетевые атаки. Виды. Способы борьбы | Статья в сборнике...

Атака на переполнение буфера основывается на поиске программных или системных

Для атаки типа Man-in-the-Middle злоумышленнику нужен доступ к пакетам, передаваемым по

или FTP-сервер) атаки DoS могут заключаться в том, чтобы занять все соединения, доступные...

Анализ уязвимости переполнения буфера | Статья в журнале...

Одним из способов проникновения в компьютерные системы и нарушения их безопасности является использование различных уязвимостей программного обеспечения. Такие уязвимости могут принимать разнообразные формы: несовершенство протоколов...

Основные виды атак социальной инженерии | Статья в журнале...

В процессе «решения» такой проблемы, злоумышленник подталкивает жертву на совершение действий, позволяющих атакующему выполнить определенные команды или установить необходимое программное обеспечение на

Анализ атак на повышение привилегий.

Актуальность MiTM-атак в современных Wi-Fi-сетях

Атака «человек посередине» или «Man in the middle» (MiTM) — вид криптографической атаки, где злоумышленник перехватывает и подменяет сообщения, которыми обмениваются пользователи сети.

Анализ атак man in the middle. Анализ атак на повышение привилегий.

Исследование нейросетевых технологий для выявления...

На сегодня системы обнаружения вторжений (СОВ) обычно представляют собой программные или

U2R атаки предполагают получение зарегистрированным пользователем привилегий локального суперпользователя (сетевого администратора).

ftp_write.

Формализация процесса удаленного взлома информационной...

Можно узнать какая операционная система стоит, программное обеспечение и его версии.

Успешный эксплойт обеспечивает привилегированный доступ к целевой системе без учетных данных пользователя.

Проблемы информационной безопасности при использовании...

- переполнение буфера. - повышение привилегий и получение административного доступа. 3. Уровень СУБД, БД.

Ключевые слова. риск, угроза, защита информации, злоумышленник, ERP-система, атака.

Анализ атак man in the middle | Статья в журнале...

...операционная система, используемы службы и т. д. После идентификации жертвы и получения ее IP-адреса злоумышленник посылает жертве и

Актуальность MiTM-атак в современных Wi-Fi-сетях. Основные виды атак социальной инженерии. Анализ атак на повышение привилегий.

Обсуждение

Социальные комментарии Cackle

Похожие статьи

Сетевые атаки. Виды. Способы борьбы | Статья в сборнике...

Атака на переполнение буфера основывается на поиске программных или системных

Для атаки типа Man-in-the-Middle злоумышленнику нужен доступ к пакетам, передаваемым по

или FTP-сервер) атаки DoS могут заключаться в том, чтобы занять все соединения, доступные...

Анализ уязвимости переполнения буфера | Статья в журнале...

Одним из способов проникновения в компьютерные системы и нарушения их безопасности является использование различных уязвимостей программного обеспечения. Такие уязвимости могут принимать разнообразные формы: несовершенство протоколов...

Основные виды атак социальной инженерии | Статья в журнале...

В процессе «решения» такой проблемы, злоумышленник подталкивает жертву на совершение действий, позволяющих атакующему выполнить определенные команды или установить необходимое программное обеспечение на

Анализ атак на повышение привилегий.

Актуальность MiTM-атак в современных Wi-Fi-сетях

Атака «человек посередине» или «Man in the middle» (MiTM) — вид криптографической атаки, где злоумышленник перехватывает и подменяет сообщения, которыми обмениваются пользователи сети.

Анализ атак man in the middle. Анализ атак на повышение привилегий.

Исследование нейросетевых технологий для выявления...

На сегодня системы обнаружения вторжений (СОВ) обычно представляют собой программные или

U2R атаки предполагают получение зарегистрированным пользователем привилегий локального суперпользователя (сетевого администратора).

ftp_write.

Формализация процесса удаленного взлома информационной...

Можно узнать какая операционная система стоит, программное обеспечение и его версии.

Успешный эксплойт обеспечивает привилегированный доступ к целевой системе без учетных данных пользователя.

Проблемы информационной безопасности при использовании...

- переполнение буфера. - повышение привилегий и получение административного доступа. 3. Уровень СУБД, БД.

Ключевые слова. риск, угроза, защита информации, злоумышленник, ERP-система, атака.

Причины и источники сетевых аномалий | Статья в журнале...

При этом целью любой сетевой атаки является вторжение злоумышленника в систему и получение

перехват пакетов передающихся по сети в открытом виде (службы telnet, FTP, SMTP

злоумышленник может получить доступ к учетной записи системного пользователя...

Сетевые атаки. Виды. Способы борьбы | Статья в сборнике...

Атака на переполнение буфера основывается на поиске программных или системных

Для атаки типа Man-in-the-Middle злоумышленнику нужен доступ к пакетам, передаваемым по

или FTP-сервер) атаки DoS могут заключаться в том, чтобы занять все соединения, доступные...

Анализ уязвимости переполнения буфера | Статья в журнале...

Одним из способов проникновения в компьютерные системы и нарушения их безопасности является использование различных уязвимостей программного обеспечения. Такие уязвимости могут принимать разнообразные формы: несовершенство протоколов...

Основные виды атак социальной инженерии | Статья в журнале...

В процессе «решения» такой проблемы, злоумышленник подталкивает жертву на совершение действий, позволяющих атакующему выполнить определенные команды или установить необходимое программное обеспечение на

Анализ атак на повышение привилегий.

Актуальность MiTM-атак в современных Wi-Fi-сетях

Атака «человек посередине» или «Man in the middle» (MiTM) — вид криптографической атаки, где злоумышленник перехватывает и подменяет сообщения, которыми обмениваются пользователи сети.

Анализ атак man in the middle. Анализ атак на повышение привилегий.

Исследование нейросетевых технологий для выявления...

На сегодня системы обнаружения вторжений (СОВ) обычно представляют собой программные или

U2R атаки предполагают получение зарегистрированным пользователем привилегий локального суперпользователя (сетевого администратора).

ftp_write.

Формализация процесса удаленного взлома информационной...

Можно узнать какая операционная система стоит, программное обеспечение и его версии.

Успешный эксплойт обеспечивает привилегированный доступ к целевой системе без учетных данных пользователя.

Проблемы информационной безопасности при использовании...

- переполнение буфера. - повышение привилегий и получение административного доступа. 3. Уровень СУБД, БД.

Ключевые слова. риск, угроза, защита информации, злоумышленник, ERP-система, атака.

Анализ атак man in the middle | Статья в журнале...

...операционная система, используемы службы и т. д. После идентификации жертвы и получения ее IP-адреса злоумышленник посылает жертве и

Актуальность MiTM-атак в современных Wi-Fi-сетях. Основные виды атак социальной инженерии. Анализ атак на повышение привилегий.

Задать вопрос