2025 年 3 月 17 日
帐户劫持是黑客未经授权访问目标系统的最常见方式之一。根据 IBM® X-Force Threat Intelligence,30% 的网络攻击利用被盗帐户侵入系统。攻击者通常以低级别帐户为目标,因为它们比保护良好的管理员帐户更容易劫持。
攻击者获得初始访问权限后,他们可以利用系统中的漏洞并使用社会工程等技术来提升他们的权限。拥有更高权限的攻击者可以更轻松地执行恶意活动,例如窃取敏感数据、安装勒索软件或破坏系统。
增强安全情报
每周在 Think 时事通讯中获取有关安全、AI 等的新闻和洞察分析,从而预防威胁。
执行权限升级攻击的黑客首先获得对较低级别用户或访客帐户的访问权限。在系统内时,他们利用网络安全防御中的漏洞和弱点来升级其权限。
威胁参与者从低级别的帐户开始,因为它们更容易被劫持。低级帐户比特权用户帐户更多,这意味着整体攻击面更大。低级别帐户的安全控制措施也往往较少。黑客通过凭据盗窃和网络钓鱼等技术接管这些低级帐户。
低级帐户为黑客提供了落脚点,但在他们进入后,并不能做太多事情。组织有意限制了这些帐户的权限,使他们无法访问敏感数据或与关键资产交互。
因此,攻击者寻找从系统内部获得特权访问权限的方法。
从广义上讲,他们有两种方法可以做到这一点:他们可以提高他们窃取的帐户的权限,或者劫持权限更高的用户(例如系统管理员)的帐户。通过特权访问,攻击者可以与可能包含敏感信息的应用程序、数据库和其他资源进行交互。
黑客在执行侦察并寻找机会提升其权限时,可能会长时间隐藏在系统中。在此期间,他们可能会安装后门,以便在被发现时重新进入网络。
黑客在探索网络时,可以横向或纵向移动。
横向权限升级
水平权限升级也称为水平运动,是指攻击者访问具有类似权限级别的帐户。尽管他们没有获得新的权限,但水平移动使黑客能够扩大其范围以收集更多情报并造成更多破坏。
例如,黑客可能会夺取银行 Web 应用程序中多个用户帐户的控制权。这些帐户可能不会提高攻击者在系统中的权限,但它们确实使攻击者能够访问多个用户的银行账户。
垂直权限升级
垂直权限升级也称为权限提升,是指从较低权限转移到较高权限,通常是从基本用户帐户转移到具有管理权限的帐户。
黑客还可以利用系统漏洞和错误配置来执行垂直权限升级,从而提高他们已有帐户的权限。
对于许多攻击者来说,垂直权限升级的目标是获得根权限。根帐户几乎可以无限制地访问系统上的所有程序、文件和资源。黑客可以利用这些权限来更改系统设置、执行命令、安装恶意软件并完全控制网络资产。
典型的权限升级攻击媒介包括:
- 凭据泄露
- 漏洞利用
- 配置错误
- 恶意软件
- 社会工程
- 操作系统漏洞
凭据泄露
漏洞利用
黑客经常利用软件漏洞(例如未修补的缺陷或编码错误)来提升帐户权限。
一种常见的技术是缓冲区溢出攻击。在这种情况下,攻击者向内存块发送的数据超过了程序的处理能力。程序通过覆盖相邻的内存块来响应,这可能会改变程序的运行方式。黑客可以利用这一点向程序中注入恶意代码。
为了实现权限升级,攻击者可以使用缓冲区溢出攻击来打开远程 shell,这些 shell 授予他们与受攻击的应用程序一样多的权限。
配置错误
权限、服务或操作系统设置若存在配置错误,将为攻击者提供绕过安全防护的突破口。
例如,配置不正确的身份和访问管理 (IAM) 解决方案可能会为用户提供超出其帐户需求的权限。意外暴露在公共 Web 上的敏感数据库会让黑客直接进入。
恶意软件
黑客可以利用其初始系统访问权限来投放恶意负载、安装后门、记录击键并监视其他用户。然后,黑客利用恶意软件的功能来获取凭证并访问管理帐户。
社会工程
黑客使用社会工程来操纵人们分享他们不应分享的信息,下载恶意软件或访问恶意网站。
社会工程是权限升级攻击的常用技术。攻击者通常通过使用社会工程来窃取低级别帐户凭据,以获得初始访问权限。进入网络后,黑客会使用社会工程来诱骗其他用户共享凭据或授予对敏感资产的访问权限。
例如,攻击者可能会使用被劫持的员工帐户向其他员工发送网络钓鱼电子邮件。由于网络钓鱼电子邮件来自合法的电子邮件帐户,因此目标更有可能上当受骗。
操作系统漏洞
权限升级攻击者通常利用特定操作系统的漏洞。Microsoft Windows 和 Linux 因其广泛的使用范围和复杂的权限结构而成为热门的目标。
Linux 权限升级
攻击者经常研究 Linux 的开源代码,以寻找实施权限升级攻击的方法。
一个常见目标是 Linux 程序 Sudo,管理员使用该程序临时授予基本用户管理权限。如果攻击者侵入具有 Sudo 访问权限的基本用户帐户,他们也会获得这些权限。然后,他们就可以利用提升的安全权限来执行恶意命令。
另一种技术是使用枚举来访问 Linux 用户名。攻击者首先通常通过配置错误的 FTP 服务器获得对 Linux 系统 Shell 的访问权限。然后,他们会发出命令,列出系统中的所有用户,或称“枚举”。有了用户名列表,攻击者就可以使用暴力破解或其他方法来控制每个帐户。
Windows 特权升级
由于 Windows 被企业广泛使用,因此它成为权限升级的常见目标。
一种常见的方法是绕过 Windows 用户帐户控制 (UAC)。UAC 确定用户是否具有标准或管理访问权限。如果 UAC 没有高级别保护,攻击者就可以发出某些命令来绕过它。然后,攻击者就可以访问根权限。
动态链接库(DLL)劫持是另一种 Windows 系统攻击途径。DLL 是包含供多个系统资源同时调用代码的文件。
攻击者首先将受感染的文件放在与合法 DLL 相同的目录中。当程序搜索真正的 DLL 时,会转而调用攻击者的文件。然后,受感染的文件会执行恶意代码,帮助攻击者提升其权限。
零信任 架构默认所有用户均为潜在威胁,可有效降低权限提升攻击风险。其他常用防范与检测权限提升攻击的安全措施包括:
- 强密码
- 补丁管理
- 最小特权原则
- 多因子认证 (MFA)
- 终端保护
- 用户行为分析
强密码使黑客难以使用暴力破解或类似方法猜测或破解帐户密码。
补丁管理是指应用供应商发布的更新来修补安全漏洞并优化软件及设备性能的流程。
通过及时应用补丁,在攻击者利用漏洞之前修复漏洞,可以轻松防止许多权限升级情况。
最小特权原则规定,应仅向用户提供其角色所需的最低访问权限。此方法可帮助组织保护特权帐户免受基于身份的攻击,例如权限升级。它还通过加强访问控制来减少特权用户和帐户的数量,从而减少黑客入侵的机会。
多重身份验证 (MFA) 是一种要求用户提供至少两种身份凭证以验证身份的鉴权方式。
即使黑客成功窃取用户凭据,这种做法也可以通过增加另一层安全性来帮助防止权限升级。有了 MFA,仅凭被盗密码无法访问受保护的帐户。
端点安全工具(例如端点检测和响应 (EDR) 解决方案)可以帮助识别权限升级攻击的早期迹象。当攻击者控制用户帐户时,他们的行为往往与真实用户不同。EDR 和类似工具可以检测端点上的异常活动并进行标记或直接干预。
使用用户和实体行为分析 (UEBA) 等工具分析用户活动可以帮助组织识别可能表示权限升级尝试的异常行为。异常大量的用户登录、深夜登录、用户访问意外的设备或应用程序,或者登录失败次数激增,都可能是特权提升的迹象。
利用 IBM Verify Privilege,在端点和混合多云环境中发现、控制、管理和保护特权帐户。
了解 IBM 全球黑客团队的 X-Force Red 渗透测试服务如何以攻击者的思维提供安全测试。
无论您需要的是数据安全、端点管理,还是身份和访问管理 (IAM) 解决方案,我们的专家都随时准备与您合作,共同构建高度安全的环境。