欢迎访问Sunbet官网(www.sunbet.us),Allbet欧博官网(www.ALLbetgame.us)!

首页Sunbet_安全防护正文

另一种滥用DCOM的内网渗入渗出手艺

de64384a174e12dc2020-08-14262内网渗透

这篇文章议论了一种一样平常渗入渗出测试中备用的DCOM渗入渗出历程目的发明和有用载荷实行的要领。主要依据是找到DCOM注册表键/值,该键指向一台 “近程”盘算机上的一个不存在的二进制文件的途径。若是mobsync.exe不在\\target\admin$\system32\中,而这是Windows 2008 R2和Windows 2012 R2支配体系安装上的默许设置。经由过程被入侵的机械上的***权限(经由过程PowerShell能够猎取),你能够实行以下支配:

– dir \\target\system32\mobsync.exe   //should not exist

– copy evil.exe \\target\admin$\system32\mobsync.exe

– [activator]::CreateInstance([type]::GetTypeFromCLSID("C947D50F-378E-4FF6-8835-FCB50305244D","target"))

引见

在这篇文章中,我们将议论一种滥用DCOM(分布式组件对象模子)来完成近程有用载荷实行和横向挪动的一种'新'且'简朴'的要领。一般来讲,这类手艺绝对简朴,但能够为其他尽人皆知的渗入渗出测试姿态供应了一种替代要领。主要内容包孕:

· 初级的DCOM渗入渗出测试手艺(参考文献)

· 研讨的效果

· 其实不庞杂的'DCOM横向挪动要领

· 为进攻者供应检测或防备此类潜伏活动的发起

DCOM初级应用

在曩昔一年半的时候里,DCOM渗入渗出测试手艺已得到很好的证实。马特纳尔逊(enigma0x3)宣布了一系列优异的博客文章,形貌了应用MMC20.Application,ShellWindows,ShellBrowserWindow,Excel.Application和Outlook.Application等DCOM或COM对象上风的横向挪动手艺。Philip Tsukerman(@PhilipTsukerman)曾经发明并提出了异常风趣的WMI横向挪动手艺,并撰写了一篇很好的文章,为DCOM功用,横向挪动手艺和进攻性斟酌供应了很好的配景学问。几个月前,我宣布了一篇博客关于滥用ShellWindows和ShellBrowserWindow的Navigate和Navigate2函数来启动一个可实行文件或'url'文件来完成近程主机上的有用载荷的实行。我强烈发起在继承阅读本文之前先进修相识上述资本。

*请注重,这里引见的要领和示例在Threat Actor TTP Totem Pole

固然看起来对照初级(能够会这么以为)。然则,我深信许多智能要挟支配者运用基于风险的要领来评价目的,因而他们不会老是运用他们最好的支配员、对象、战略和顺序来完成其预期的效果或目的。因而,这里议论的手艺和设法主意能够依然有用。

研讨效果

几个礼拜前,我决议假造化一台旧笔记本电脑的支配体系。转换历程异常痛楚,经由一些毛病消除(和少量从新启动)后,我终究找到了准确的假造化驱动顺序和对象。然则,我想到了我的决议对安全性的影响,并想知道是不是另有其他风趣的老旧的器械能够作为物理机械。我没有适宜的“基准”机械,也没有兴致停止调查剖析。然则,我挑选在注册表动手,很快遇到了这个风趣的CLSID注册表途径,该途径援用了一个二进制文件,该文件能够为笔记本电脑上的之前的(驱动顺序)顺序供应了一些有用/诊断功用:

另一种滥用DCOM的内网渗入渗出手艺  内网渗透 第1张 另一种滥用DCOM的内网渗入渗出手艺  内网渗透 第1张

疾速DIR考证C:\WINDOWS\system32\IntelCpHDCPSvc.exe不再位于磁盘上:

另一种滥用DCOM的内网渗入渗出手艺  内网渗透 第3张 另一种滥用DCOM的内网渗入渗出手艺  内网渗透 第3张

这让我马上想到四件事:

· IntelCpHDCPSvc.exe对我来讲显然是未知的

· 旧软件的卸载顺序并未完整删除一切注册表键值

· 我应当更好地搜检和信托我的机械上的软件(这个转换历程须要一天或三杯啤酒的时候)

· 这看起来像一个DCOM应用顺序(它曾经由过程上面的Get-CimInstance Win32_DCOMApplication查询停止考证)

另一种滥用DCOM的内网渗入渗出手艺  内网渗透 第5张 另一种滥用DCOM的内网渗入渗出手艺  内网渗透 第5张

经由过程谷歌搜刮显现IntelCpHDCPSvc.exe与英特尔的内容珍爱HDCP效劳有关,但最使我感兴致的是LocalServer32和InProcServer32键值能够存在的安全隐患(或时机),它援用了不存在的二进制文件的途径。由于IntelCpHDCPSvc能够不会在异常稀有的情况下涌现,因而我想找就任何情况下都能够应用的被“抛弃”的DCOM参考,它们都是Microsoft Windows Server自身的版本。

被抛弃的DCOM横向活动要领论

二进制发明

第一步是在DCOM应用顺序中找到适宜的二进制途径。为此,我制作了异常大略的PowerShell cmds,以运用以下敕令从Windows 2012完整修补的实例中提取LocalServer32可实行文件和InProcServer32 DLL:

gwmi Win32_COMSetting -computername 127.0.0.1 | ft InProcServer32 -autosize | Out-String -width 4096 | out-file dcom_dlls.txt

规范化的,反复删除的输入(来自Windows 2012机械)看起来像如许:

另一种滥用DCOM的内网渗入渗出手艺  内网渗透 第7张 另一种滥用DCOM的内网渗入渗出手艺  内网渗透 第7张

在衔接这些文件并删除一些开关以后,我运用上面这个粗拙的cmd字符串测试了磁盘上现实文件的存在:

$file = gc C:\Users\test\desktop\dcom_things.txt
foreach ($binpath in $file) {
 $binpath
 cmd.exe /c dir $binpath > $null
}

实行效果以下:

%SystemRoot%\system32\mobsync.exe
File Not Found

实行效果以下图所示:

另一种滥用DCOM的内网渗入渗出手艺  内网渗透 第9张 另一种滥用DCOM的内网渗入渗出手艺  内网渗透 第9张

依据How-To Geek的说法,mobsync “属于Microsoft Sync Center和脱机文件功用的一个历程。”这很好明白,但mobsync.exe由于其他缘由变得异常风趣……

考证AppID和CLSID

----------------------------------------------

申博|网络安全巴士站【https://www.bus123.net/】

申博|网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。。

----------------------------------------------

由于我之前没有很好地罗列恰当的AppID和CLSID,我挑选了阅读注册表来查找这些内容,以下图所示:

另一种滥用DCOM的内网渗入渗出手艺  内网渗透 第11张 另一种滥用DCOM的内网渗入渗出手艺  内网渗透 第11张

特别是在下一阶段须要CLSID [C947D50F-378E-4FF6-8835-FCB50305244D]来建立DCOM对象的实例。

近程负载实行和渗入渗出测试

如今曾经识别出候选的DCOM和COM对象了,让我们实验挪用近程有用负载实行。在继承之前,请注重以下情况要素:

· 为了近程实例化DCOM对象,我们必需具有恰当的权限。***帐户就足够了。

· 为了使有用负载实行更有现实意义,我们将应用域情况。在这个测试案例中,我们将假定我们曾经捕捉了域***证书。近程实行实验将从Windows 10客户端发作到Windows 2012域掌握器。

· 愿望能有对我们有益的能够性…

让我们剖析我们准好的歹意的有用负载并确认mobsync.exe不在目的上(由于某些增添的脚色或治理设置):

dir C:\evil.exe
dir \\acmedc\admin$\system32\mobsync.exe

另一种滥用DCOM的内网渗入渗出手艺  内网渗透 第13张 另一种滥用DCOM的内网渗入渗出手艺  内网渗透 第13张

不错!由于mobsync.exe不存在,我们的evil.exe有用载荷清楚地规避了任何范例的主机珍爱机制,让我们将其复制到DC:

copy C:\evil.exe \\acmedc\admin$\system32\mobsync.exe
dir \\acmedc\admin$\system32\mobsync.exe

另一种滥用DCOM的内网渗入渗出手艺  内网渗透 第15张 另一种滥用DCOM的内网渗入渗出手艺  内网渗透 第15张

由于我们的二进制不是“DCOM”,实例化后应当会“失利”,但现实上依然触发了有用载荷。让我们来实验一下:

[activator]::CreateInstance([type]::GetTypeFromCLSID("C947D50F-378E-4FF6-8835-FCB50305244D","target"))

在Windows 10域成员机械上…

另一种滥用DCOM的内网渗入渗出手艺  内网渗透 第17张 另一种滥用DCOM的内网渗入渗出手艺  内网渗透 第17张

在Windows 2012域掌握器上…

另一种滥用DCOM的内网渗入渗出手艺  内网渗透 第19张 另一种滥用DCOM的内网渗入渗出手艺  内网渗透 第19张

不错!'歹意'的mobsync.exe触发了notepad.exe有用负载的实行!

其他重要说明和应用时机

· 此手艺也能够对Windows Server 2008起作用,由于默许情况下,mobsync.exe不在\system32目次中。然则,mobsync.exe会被放入Windows 2016效劳器盘算机上的system32目次中。

· 另有其他要领能够会挪用这类DCOM横向挪动的技能。如前所述,有许多“DCOM”的二进制文件。一个简朴的要领是(临时)替代这些二进制文件中的一个,并实行相反范例的挪用。挟制近程盘算机上的mshta.exe能够没有支配上的意义,然则支配近程文件体系(比方文件复制/挪动支配,近程文件权限等)存在使人头痛的题目,固然另有处置惩罚增添的风险的检测。

· 另一种(有趣的)要领多是支配近程注册表,将DCOM二进制文件的响应CLSID LocalServer32键/值文件途径变动成指向磁盘上的另一个地位或近程文件同享。与后面的示例相似,这对处置惩罚注册表变动和权限和引入分外的检测风险具有肯定的影响。

· 第三方“DCOM”应用顺序,软件和有用顺序为定位找到“烧毁”的DCOM途径供应了另一种相似横向挪动的时机。IntelCpHDCPSvc.exe是一个演示用例,但能够不是一个很好的例子。然则,企业构造每隔几年购置一台新的盘算机装备其实不稀有。在“更新换代”装备时,机械须要保护,打补丁和晋级。删除某些有用软件和较旧的装备驱动顺序后,软件残留的能够性(比方注册表中的DCOM设置装备摆设设置)能够会引入这些横向挪动进击途径。一个坚决的耐久进击者能够会对此停止细致调查和剖析。

· 在其他版本的Windows中能够会摒弃DCOM二进制援用,包孕客户端装备。

进攻性斟酌

关于供应商来讲:

· 确保在卸载有用顺序软件时删除DCOM注册表工件。

· 不要建立指向不存在的二进制文件的DCOM二进制途径注册表键值。

对进攻者来讲:

· 一般来讲,进攻者应当在他们各自的博客文章中猎取由@ enigma0x3和@PhilipTsukerman供应的IOC和发起。

· 运用这些DCOM要领(能够)须要对近程机械停止特权接见。珍爱特权域帐户。制止跨当地盘算机帐户从新运用暗码。

· 确保进攻深度掌握,基于主机的安全产品和主机监控到位,以检测/阻挠可疑活动。启用基于主机的防火墙以防备RPC / DCOM交互和实例化。

· 看管文件体系(和注册表)以查找新引入的软件和变动。

· 在情况中看管可疑的PowerShell运用情况。不管什么时候/只需有能够就启用强迫束缚言语形式(*注重:关于特权帐户来讲这能够很难题)。

· 在DCOM挪用“失利”时,能够参考CLSID在目的机械上天生体系事宜ID 10010(Error,DistributedCOM):

结论

谢谢你花时候阅读我的这篇文章!与平常一样,若是你有任何疑问,看法或反应,请随时与我们联络。

本文翻译自:https://bohops.com/2018/04/28/abusing-dcom-for-yet-another-lateral-movement-technique/如若转载,请说明原文地点: http://www.4hou.com/penetration/12155.html

网友评论

1条评论
  • 2020-08-14 00:00:12

    欧博注册网址www.aidshuhehaote.com欢迎进入欧博网址(Allbet Gaming),欧博网址开放会员注册、代理开户、电脑客户端下载、苹果安卓下载等业务。人狠话不多,好