Проникновение и утечки     63

Горизонтальное повышение привилегий

Горизонтальное повышение привилегий проще, поскольку позволяет пользо-
вателю применять те же привилегии, которые были получены при первона-
чальном доступе.
Хорошим примером является случай, когда злоумышленник может украсть
учетные данные администратора сети. Учетная запись администратора уже
имеет высокие привилегии, которые появятся у злоумышленника сразу после
получения доступа к ней.
Горизонтальное повышение привилегий также возникает, когда злоумыш-
ленник может получить доступ к защищенным ресурсам, используя обычную
учетную запись пользователя. Хорошим примером является случай, когда
обычный пользователь по ошибке может получить доступ к  учетной записи
другого пользователя. Обычно это делается с помощью кражи сеансов и фай-
лов cookie, межсайтового скриптинга, угадывания слабых паролей и регистра-
ции нажатий клавиш.
В конце этого этапа злоумышленник обычно располагает четко установлен-
ными точками входа удаленного доступа в целевую систему. У него также мо-
жет быть доступ к учетным записям нескольких пользователей. Злоумышлен-
ник знает, как избежать обнаружения средствами безопасности, которые могут
быть у объекта атаки. Это приводит к следующему этапу, называющемуся экс-
фильтрация, или проникновение.

Проникновение и утечки
Это фаза, с которой начинается основная атака. Как только атака достигла дан-
ной фазы, она считается успешной. Обычно злоумышленник может беспре-
пятственно передвигаться по сети жертвы, имея доступ ко всем ее системам
и конфиденциальным данным, и извлекает конфиденциальные данные орга-
низации. Это могут быть коммерческие секреты, имена пользователей, паро-
ли, личные данные, сверхсекретные документы и другие типы данных. На этом
этапе злоумышленники обычно крадут огромные массивы данных, которые
могут быть либо проданы покупателям, либо опубликованы. Крупным компа-
ниям приходилось сталкиваться с  ужасными инцидентами, когда их данные
были украдены.
В 2015 г. хакерская группа взломала и  украла 9,7 Гб данных с  сайта Ashley
Madison, службы онлайн-знакомств и общения, предназначенной для людей, со­
стоящих в браке или в отношениях. Хакеры предложили Avid Life Media, компа-
нии, которая владела сайтом, закрыть его, угрожая опубликовать данные поль-
зователей. Материнская компания отказалась от претензий, но хакеры вскоре
выбросили данные в даркнет – теневой интернет. Данные включали в себя ре-
альные имена, адреса, номера телефонов, адреса электронной почты и учетные
данные миллионов пользователей. Хакеры призвали людей, пострадавших от
утечки, подать в суд на компанию и потребовать возмещения убытков.