Deep Instinct 的网络安全研究人员发现了一种新颖且强大的基于分布式组件对象模型(DCOM) 的横向移动攻击方法,使攻击者能够在目标 Windows 系统上秘密部署后门。
攻击利用 Windows Installer 服务远程编写自定义 DLL,将其加载到活动服务中,并使用任意参数执行它们。具体来说,DLL(动态链接库)是一个 Windows 文件,其中包含多个程序共享的代码、数据和资源。
Deep Instinct 的技术博客详细介绍了该攻击,该攻击利用了IMsiServer COM 接口。通过逆向其内部结构,攻击者可以操纵其功能以实现远程代码执行,绕过传统的安全控制并在受感染的系统上建立持久立足点。
DCOM 横向移动是一种利用 DCOM 中的漏洞在网络内横向移动的技术,它允许不同计算机上的程序之间进行通信。
另一方面,计算机对象 (COM) 是经过编译的代码,它基于由全局唯一类 ID (CLSID) 定义的类实现的接口为系统提供服务,并使用全局唯一标识符 (GUID) – AppID 进行远程访问。COM 组件之间的所有通信都通过接口进行。
该技术包括识别易受攻击的 Windows Installer 服务、利用其 COM 接口、制作包含恶意代码的恶意 DLL、远程编写 DLL、将 DLL 加载到正在运行的服务进程中并执行代码。攻击者控制该服务,操纵其功能以与其进行远程交互。
恶意 DLL 被加载到 Windows Installer 服务中,允许攻击者执行其代码,并授予他们对系统的远程访问权限。由于 Windows Installer 具有广泛的系统权限和网络可访问性,此方法对 Windows Installer 特别有效。
研究人员在技术博客文章中指出,DCOM 上传和执行攻击功能强大,但也有局限性。它要求攻击者和受害者机器都位于同一个域内,从而将其适用性限制在特定的组织边界内。
一致的 DCOM 强化补丁状态可以降低补丁级别不同的环境中攻击的有效性。
除此之外,上传的有效负载必须是强命名的 .NET 程序集,并且必须与目标计算机的架构(x86 或 x64)兼容,这增加了攻击过程的复杂性。
Deep Instinct 研究讨论了 IDispatch,这是一个基本的 COM 接口,它使脚本语言和高级语言能够与 COM 对象交互。但是,由于 IMsiServer 接口未实现 IDispatch,因此它并不直接参与 DCOM 上传和执行攻击。
这意味着像 PowerShell 这样的传统脚本语言无法使用标准技术直接与其交互。研究人员使用较低级别的技术来操纵 IMsiServer 接口,并通过直接调用接口的方法并传递必要的参数来实现远程代码执行。
转自军哥网络安全读报,原文链接:https://mp.weixin.qq.com/s/EaXRq4TFwC4wc2eAe0yKUQ
封面来源于网络,如有侵权请联系删除
