Каждый хакер использует один из методов проникновения, описанных в предыдущих разделах, чтобы получить доступ к целевой системе. Единственный вопрос – это тип доступа, который он получает. Если хакер использует программное обеспечение или службы, запущенные в собственном контексте безопасности пользователя, он изначально имеет только те же права доступа и разрешения, что и авторизованный пользователь. Или он может открыть cвятой Грааль и получить полный доступ к административной системе. Если злоумышленник получает только обычные, непривилегированные разрешения доступа, то он обычно выполняет вторую атаку для эскалации привилегий, чтобы попытаться получить более высокий доступ. Атаки эскалации привилегий охватывают весь спектр, по существу, дублируя те же подходы, что и для проникновения, но они начинаются с более высокой начальной точки, уже имеющей некоторый доступ. Атаки с повышением привилегий обычно проще выполнить, чем первоначальные эксплойты. И поскольку начальные эксплойты почти всегда гарантированно будут успешными, эскалация привилегий намного проще.

Упрощение доступа в будущем

Затем, хотя это необязательно, после получения первоначального доступа, злоумышленник работает над реализацией дополнительного метода, чтобы убедиться, что сможет легко получить доступ к тому же ресурсу или ПО в следующий раз. Многие хакеры размещают «прослушивающий» бэкдор, с помощью которого можно подключиться вновь. В других случаях это означает взлом паролей или создание новых учетных записей. Злоумышленник всегда может использовать те же эксплойты, которые успешно отработали в прошлый раз, чтобы снова взломать систему, но обычно применяет другой метод, который будет работать, даже если жертва исправляет уязвимость.

Разведка системы

Чаще всего, как только хакер проник в систему, он начинает выполнять команды или программы, чтобы узнать больше о цели, к которой получен доступ, и о том, что с ней связано. Обычно это означает поиск в оперативной памяти, файлов на жестком диске, сетевых подключений, общих ресурсов, служб и программ. Эта информация используется для лучшего понимания цели, а также для планирования следующей атаки.

Перемещение

Это редкая разновидность атаки или вредоносного воздействия, применяемого для взлома определенной цели. Почти все хакеры и вредоносные программы хотят подчинить себе как можно больше. Как только они получают доступ к первоначальной цели, распространение их влияния в пределах одной сети или объекта упрощается. Методы проникновения хакеров, перечисленные в этой главе, суммируют различные способы, которыми они могут это сделать, но, сравнивая их с первоначальными усилиями, последующее перемещение облегчается. Если атакующий движется к другим подобным целям, это называется боковым перемещением. Если злоумышленник переходит с устройств с одной привилегией на более высокую или более низкую, это называется вертикальным перемещением.

Большинство атакующих переходят от низких уровней к высоким, используя методы вертикального перемещения (опять же, реализуя методы хакерского проникновения, с которыми мы познакомились). После проникновения они ищут пароли от учетной записи локального администратора. Затем, если эти учетные данные совместно используются несколькими компьютерами (что часто бывает), они перемещаются горизонтально и повторяют процесс, пока не смогут получить доступ к самым привилегированным учетным записям. Иногда это делается во время первого взлома, так как авторизованный пользователь или система уже имеет очень высокие привилегии. Затем они перемещаются на сервер аутентификации и считывают учетные данные каждого пользователя. Это стандартный алгоритм для большинства современных хакерских атак, и переход от первоначального взлома к полному овладению сетью может занять менее часа.

Как хакеру средней руки, мне обычно требуется около часа, чтобы проникнуть, и еще час, чтобы захватить централизованную базу данных аутентификации. Так что на захват сети компании в среднем уходит около двух часов. Самое долгое проникновение заняло у меня три часа.

Выполнение запланированного действия