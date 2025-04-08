RemoteMonologue: Mempersenjatai DCOM untuk pemaksaan autentikasi NTLM

Penulis

Andrew Oliveau

Red Team Operator

Hari-hari dengan mudah memperoleh kredensial dengan Mimikatz, baik atau buruk, akan segera berakhir. Seiring Microsoft memperkuat pertahanannya terhadap pencurian kredensial dan solusi Deteksi dan Respons Titik Akhir (EDR) terus berkembang, teknik red team tradisional seperti gerakan lateral, eksekusi muatan, dan akses langsung ke Local Security Authority Subsystem Service (LSASS) menjadi semakin diawasi. Akibatnya, komunitas Red Team telah dipaksa untuk menjelajahi metode alternatif untuk memanen kredensial pada sistem Windows.

Bayangkan mencapai hasil yang sebanding tanpa perlu beban kerja "canggih" atau mengakses LSASS, hanya dengan “memanfaatkan apa yang ada” dan menggunakan objek Component Object Model (COM) yang kurang dimanfaatkan. Jika itu membuat Anda bersemangat, lanjutkan, karena blog ini berisi trik menyenangkan yang dapat Anda gunakan dalam upaya Anda berikutnya.

Kami akan membahas secara singkat dasar-dasar COM dan komponen terdistribusinya, Distributed Component Object Model (DCOM), menyelami pengaturan RunAs dan mengapa paksaan otentikasi berdampak dan memperkenalkan alat pemanenan kredensial baru - RemoteMonologue.

Apa yang perlu Anda ketahui tentang COM dan DCOM

Model Komponen Objek (COM) adalah salah satu teknologi tertua dan paling meresap di Windows, diam-diam beroperasi di balik layar aplikasi dan layanan sehari-hari. Terlepas dari usianya, COM tetap menjadi sumber daya yang berharga bagi penyerang, menawarkan cara alternatif untuk mencapai gerakan lateral, eskalasi hak istimewa, dan kegigihan. Namun, kompleksitas yang melekat telah membuat sebagian besar permukaan serangannya kurang dieksplorasi.

Untuk blog ini, konsep kunci untuk dipahami adalah:

  • COM: Teknologi inti Windows yang memungkinkan komponen perangkat lunak berinteraksi satu sama lain melintasi batas-batas proses. COM memungkinkan program untuk menggunakan kembali fungsionalitas dari program lain tanpa menduplikasi fungsionalitas. Misalnya, sebuah program dapat menggunakan objek COM untuk membaca log sistem atau menambahkan entri baru ke file Excel tanpa menerapkan fitur-fitur ini sendiri.
  • Distributed Component Object Model (DCOM) Ekstensi dari COM yang memungkinkan komunikasi berbasis jaringan. Dengan DCOM, proses yang berjalan pada satu mesin dapat memanggil fungsi pada objek COM yang terletak di mesin lain. Kemampuan berbasis jaringan ini telah menjadikan DCOM alat yang berharga untuk gerakan lateral. Mengakses objek DCOM biasanya memerlukan hak administrator lokal pada sistem jarak jauh.

Pada tingkat tinggi, pikirkan objek COM sebagai unit mandiri dengan dua komponen utama:

  • Properti: Ini mewakili status atau konfigurasi objek.
  • Metode: Ini mewakili tindakan yang dapat dilakukan objek. Misalnya, objek COM mungkin memiliki Metode untuk meluncurkan proses, membuat file atau memulai permintaan autentikasi.

Penyerang dapat menyalahgunakan metode ini untuk memfasilitasi gerakan lateral dan, seperti yang akan kami ilustrasikan segera, memaksa autentikasi NTLM jarak jauh untuk pemecahan kata sandi dan serangan relai.

Sebelum menyelam ke hal-hal yang menyenangkan, satu komponen penting dari COM perlu dibahas secara lebih terperinci. Pengidentifikasi aplikasi (AppID) di COM berfungsi sebagai mekanisme kunci untuk mengelola keamanan, identitas, dan perilaku waktu proses aplikasi COM, terutama dalam skenario yang melibatkan DCOM atau aplikasi yang memerlukan konteks keamanan tertentu. Ketika kelas COM terdaftar dengan AppID, ia mewarisi pengaturan keamanan yang ditentukan untuk AppID tersebut.

Pengaturan keamanan yang paling penting adalah kunci RunAs, yang menentukan akun pengguna mana yang akan digunakan untuk mengeksekusi objek DCOM pada saat instantiasi. Kunci RunAs dapat ditemukan di registri di bawah:

  • HKEY_CLASSES_ROOT\AppID\{AppID_GUID}

Saat meninjau dokumentasi Microsoft tentang DCOM dan kunci RunAs, satu nilai spesifik menonjol: Pengguna Interaktif. Nilai ini mengonfigurasi objek DCOM untuk dieksekusi di bawah konteks keamanan pengguna yang saat ini masuk ke sesi konsol sistem. Dari perspektif ofensif, ini menarik karena memungkinkan kami memanfaatkan objek DCOM untuk beroperasi sebagai pengguna lain tanpa mengetahui kredensial pengguna yang terpengaruh.

Tidak semua objek DCOM dengan AppID memiliki nilai RunAs yang disetel ke Interactive User (Pengguna Interaktif). Faktanya, sekitar setengah dari AppID tidak memiliki nilai RunAs yang ditetapkan sama sekali. Namun, bagaimana jika nilai RunAs dapat ditambahkan atau dimodifikasi agar sesuai dengan tujuan kita?

Secara default, AppID dalam registri diamankan dengan Discretionary Access Control List (DACL), memberikan hak kepemilikan TrustedInstaller dan membatasi administrator lokal untuk akses read-only, seperti yang ditunjukkan pada Gambar 1.

Tangkapan layar pengaturan DACL default untuk AppID
Gambar 1: Pengaturan DACL default untuk AppID

Namun, administrator lokal diberikan hak istimewa SeTakeOwnershipPrivilege, yang memungkinkan mereka untuk mengambil kepemilikan objek sistem, termasuk kunci registri. Hak istimewa ini relevan untuk serangan ini karena memungkinkan kita untuk mengubah kepemilikan AppID. Setelah kepemilikan diubah, kami dapat memberi diri kami izin Kontrol Penuh atas AppId dan kemudian mengubah pengaturannya untuk menambah atau mengubah nilai RunAs.

Setelah nilai RunAs dimodifikasi menjadi Pengguna Interaktif, serangan menjadi mudah. Ini memungkinkan kita untuk memaksa objek DCOM untuk berjalan dalam konteks sesi aktif lainnya. Namun, keberhasilan serangan ini pada akhirnya tergantung pada Properti dan Metode yang diekspos oleh objek DCOM tertentu yang ditargetkan.

Pemaksaan autentikasi NTLM

Sekarang setelah kita tahu bahwa objek DCOM dapat diubah menjadi alat pembajakan sesi, langkah selanjutnya adalah mengidentifikasi Methods dan Properties mana yang dapat dimanfaatkan untuk menyelesaikan pembajakan. Untuk riset ini, saya menjelajahi apakah pembobolan pengguna dapat dicapai tanpa menjalankan payload—dengan menerapkan pendekatan yang berbeda dari kebanyakan teknik gerakan lateral DCOM publik.

Saya fokus untuk mencapai hasil yang sebanding dalam format “tanpa file”, yang berarti tidak perlu mentransfer atau menjalankan muatan pada sistem target. Perbedaan ini penting karena mentransfer dan menjalankan muatan pada sistem target sering dianggap sebagai tindakan “mahal” dalam operasi Red Team. Dengan menghindari langkah ini, risiko memicu kontrol keamanan umum berkurang secara signifikan. Oleh karena itu, saya bertujuan untuk mengkompromikan akun pengguna jarak jauh dengan memaksa autentikasi NTLM melalui DCOM.

Ada beberapa manfaat utama untuk memaksa otentikasi NTLM daripada melakukan teknik gerakan lateral tradisional:

  • Tangkap hash NTLMV1/NTLMv2 dan coba pecahkan secara offline
  • Relai hash NTLMv1 atau WebDAV NTLMv2 ke layanan jaringan lain, seperti LDAP atau SMB, untuk melakukan tindakan sebagai pengguna yang terpengaruh
  • Hindari mentransfer dan menjalankan muatan pada sistem target, yang biasanya menarik lebih banyak pengawasan dari alat keamanan
  • Hindari menyentuh proses LSASS, sehingga mengurangi risiko deteksi

Pada penulisan ini, penandatanganan LDAP dan pengikatan saluran tidak diperlukan dan diberlakukan secara default pada sebagian besar pengontrol domain. Fitur keamanan ini hanya wajib di Windows Server 2025. Ini berarti bahwa jika kita dapat memaksa otentikasi NTLMv1 atau WebDAV dari sistem target, kita dapat menyampaikannya ke LDAP dan melakukan tindakan sebagai pengguna yang terpengaruh. Demikian pula, penandatanganan SMB tidak diperlukan secara default pada server Windows, kecuali untuk pengontrol domain.

Pertimbangan penting lainnya adalah bahwa hash NTLMv1 dapat di-crack secara sepele menggunakan tabel pelangi, yang telah dibagikan secara publik oleh Nic Losby pada Desember 2024. Tabel ini secara drastis mengurangi waktu dan upaya yang diperlukan untuk memulihkan kredensial NTLM dari hash NTLMv1. Untuk mendapatkan hash NTLMv1 alih-alih hash NTLMv2, kami memodifikasi kunci registri berikut pada sistem target:

  • HKLM\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel

Menyetel LMCompatibilityLevel ke nilai 2 atau kurang memaksa sistem untuk kembali ke NTLMv1 untuk autentikasi. Modifikasi ini dimungkinkan dengan hak administrator lokal dan biasanya disebut sebagai “serangan downgrade NetNTLMv1”.

Atau, kita dapat menangkap otentikasi WebDAV dan meneruskannya ke LDAP, karena otentikasi berbasis HTTP dapat diteruskan ke layanan ini. Jika layanan WebClient belum berjalan dengan akses istimewa, kami dapat mengaktifkannya dari jarak jauh di sistem target. Setelah diaktifkan, kita dapat memaksa otentikasi NTLM WebDAV ke pendengar kita dengan menentukan nama NetBIOS mesin di jalur UNC. Sebagai contoh:

  • \\MYHACKERBOX@80\giveme\creds.txt

Untuk informasi lebih lanjut tentang serangan relai NTLM dan protokol yang dapat diteruskan ke titik akhir yang berbeda, lihat sumber daya berikut di sini.

Objek DCOM ServerDataCollectorSet

Selama penelitian saya, saya menganalisis objek DCOM ServerDataCollectorSet, yang memiliki CLSID {03837546-098B-11D8-9414-505054503030}, untuk mengidentifikasi Metode dan Properti yang dapat dimanfaatkan untuk paksaan otentikasi. Salah satu properti yang menonjol adalah DataManager, dan untungnya, objek COM ini menyertakan Pustaka Tipe, yang mendefinisikan Metode dan Properti secara lebih terperinci.

Menghitung properti dan metode ServerDataCollector
Gambar 2: Menghitung properti dan metode ServerDataCollector

Dengan menggunakan OleView.NET, saya ulasan Pustaka Jenis ServerDataCollectorSet’s dan menemukan bahwa properti DataManager memiliki metode Extract yang mengharapkan dua parameter:

  1. CabFilename – Nama file CAB yang akan diekstrak.
  2. DestinationPath – Jalur untuk mengekstrak isi file CAB.

Kehadiran parameter CabFileName sangat menarik karena hal itu menunjukkan kemungkinan untuk memasukkan jalur UNC, yang dapat memicu tindakan autentikasi jaringan.

Menganalisis Type Library dengan OleView.NET
Gambar 3: Menganalisis Pustaka Tipe dengan Oleview.net

Untuk menguji teori ini, saya menyediakan jalur UNC untuk parameter CabFilename yang mengarah ke sistem saya(172.22.164.58) menjalankan Responder, seperti yang ditunjukkan pada Gambar 4. Hasilnya? Berhasil! Kami dapat menangkap hash NTLMv2, seperti yang ditunjukkan pada Gambar 5.

Memaksa otentikasi dengan metode Ekstrak
Gambar 4: Memaksa autentikasi dengan metode Ekstrak
Menangkap kredensial NTLMv2
Gambar 5: Menangkap kredensial NTLMv2

Selanjutnya, saya menguji apakah mungkin untuk mengambil kredensial dari pengguna yang berbeda pada sistem jarak jauh (172.22.166.170) dengan memodifikasi kunci RunAs ServerDataCollectorSet. Untuk mencapai hal ini, saya menggunakan layanan Remote Registry untuk menambahkan nilai Interactive User untuk AppID {03837503-098B-11D8-9414-505054503030}.

Setelah pengguna yang berbeda masuk ke sistem target (dalam hal ini, GALAXY\yoda), saya mengakses objek DCOM ServerDataCollectorSet sebagai GALAXY\Administrator dan menjalankan metode Extract yang sama yang ditunjukkan pada Gambar 6. Sekali lagi, saya berhasil mengambil autentikasi; namun, kali ini dari GALAXY\yoda, seperti yang ditunjukkan pada Gambar 7. Ini menunjukkan bahwa modifikasi kunci RunAs ke Interactive User memungkinkan kita memanfaatkan objek DCOM untuk membajak sesi dari pengguna lain.

Memaksa autentikasi dari jarak jauh dengan metode Ekstrak
Gambar 6: Memaksa autentikasi dari jarak jauh dengan metode Ekstrak
Menangkap kredentif NTLMv2 untuk pengguna lain
Gambar 7: Menangkap kredenSIAL NTLMv2 untuk pengguna lain

Aliran serangan ini ditunjukkan pada diagram di bawah ini.

Grafik yang menunjukkan serangan RemoteMonologue
Gambar 8: Serangan RemoteMonologue

Objek DCOM FileSystemImage

Objek DCOM menarik lainnya yang rentan terhadap pemaksaan autentikasi adalah FileSystemImage, yang memiliki CLSID {2C941FC5-975B-59BE-A960-9A2A262853A5}. Objek ini sangat unik karena paksaan dipicu hanya dengan memodifikasi Properti daripada memanggil Metode - teknik yang kurang umum dalam serangan berbasis DCOM.

Properti yang dimaksud adalah WorkingDirectory, yang secara default menunjuk ke folder %TEMP% pengguna interaktif. Namun, dengan mengubah nilai WorkingDirectory ke jalur UNC yang menunjuk ke pendengar kita, dimungkinkan untuk menangkap otentikasi NTLMv2, seperti yang ditunjukkan pada Gambar 9 dan 10.

Memodifikasi properti WorkingDirectory untuk memaksa autentikasi
Gambar 9: Memodifikasi properti WorkingDirectory untuk memaksa autentikasi
Demonstrasi penangkapan kredensial NTLMv2
Gambar 10: Menangkap kredensial NTLMv2

Untuk memvalidasi kemampuan pembajakan sesinya, saya menguji ini dari jarak jauh dengan menyetel kunci RunAs untuk AppID {2C941FD1-975B-59BE-A960-9A2A262853A5} ke Interactive User. Konfigurasi ini memicu objek FileSystemImage DCOM untuk dieksekusi di sesuai dengan konteks keamanan pengguna aktif pada sistem target. Dan, sesuai perkiraan, saya dapat menangkap hash NTLMv2 untuk pengguna itu.

Teknik ini menunjukkan bahwa paksaan autentikasi dapat dicapai dengan memodifikasi Properties serta Methods, sehingga memperluas potensi permukaan serangan objek DCOM.

Objek DCOM UpdateSession

Satu objek DCOM terakhir yang perlu dibagikan adalah UpdateSession, yang memiliki CLSID {4CB43D7F-7EEE-4906-8698-60DA1C38F2FE}. Saat meninjau Pustaka Tipenya, Metode AddScanPackageService menonjol karena memerlukan argumen ServiceName dan, yang lebih menarik, argumen ScanFileLocation. Kehadiran ScanFileLocation mengisyaratkan bahwa solusi ini mungkin menerima jalur UNC.

Menganalisis Pustaka Tipe UpdateSession dengan Oleview.net
Gambar 11: Menganalisis Pustaka Tipe UpdateSession dengan Oleview.net

Saat menguji teori ini, kami berhasil menangkap autentikasi NTLMv2. Namun, alih-alih mendapatkan kredensial akun pengguna, kami justru menerima kredensial akun mesin, seperti yang ditunjukkan di bawah ini.

Memaksa autentikasi dengan UpdateSession Methods
Gambar 12: Memaksa otentikasi dengan Metode UpdateSession
Menangkap autentikasi akun mesin
Gambar 13: Menangkap otentikasi akun mesin

Temuan ini sangat menarik karena, bahkan setelah menambahkan kunci RunAs dan mengaturnya ke Interactive User, objek DCOM UpdateSession masih melakukan operasi jaringan sebagai akun mesin. Jadi, mengapa ini terjadi? Jawaban sederhananya adalah bahwa, meskipun objek DCOM itu sendiri berjalan di sesuai dengan konteks keamanan pengguna instantiating atau interaktif, operasi jaringan dilakukan oleh proses terpisah: svchost.exe. Jalur UNC diserahkan ke svchost.exe, yang selalu menjadi default untuk akun SYSTEM untuk operasi ini. Oleh karena itu, pengaturan kunci RunAs tidak memengaruhi perilaku ini.

Meskipun kunci RunAs tidak mempengaruhi akun yang digunakan untuk operasi jaringan, menangkap kredensial akun mesin masih berharga untuk beberapa skenario serangan:

  1. Akses ke izin DACL yang menarik di Active Directory:
    Akun mesin (misalnya, DOMAIN\ MACHINE$) dapat memiliki izin ke objek tertentu di Active Directory yang mungkin berguna untuk gerakan lateral atau eskalasi hak istimewa.
  2. Memalsukan tiket perak untuk penghindaran ekstra:
    Kami dapat menggunakan hash NTLM akun mesin untuk memalsukan tiket perak, memungkinkan kami untuk menyamar sebagai pengguna mana pun di sistem dan melakukan tindakan dengan risiko terdeteksi yang berkurang.

RemoteMonolog

Serangan ini dinamakan RemoteMonologue, karena fungsinya mirip dengan InternalMonologue, dengan perbedaan utama yaitu melakukan serangan dari jarak jauh. Alat ini dikembangkan dalam Python menggunakan pustaka Impacket dan mengotomatiskan proses serangan.

RemoteMonologue menyediakan kemampuan untuk menargetkan salah satu dari tiga objek DCOM yang disebutkan di atas (-dcom) untuk melakukan paksaan autentikasi terhadap listener tertentu (-auth-to). Selain itu, fitur modul penyemprotan (-spray) untuk memvalidasi kredensial di beberapa sistem, dengan manfaat tambahan untuk menangkap kredensial. Alat ini juga mendukung serangan downgrade NetNTLMv1 (-downgrade) dan memiliki opsi untuk mengaktifkan layanan WebClient untuk memfasilitasi autentikasi HTTP (-webclient). Terakhir, alat ini menyertakan modul kueri (-query) untuk menghitung pengguna dengan sesi aktif pada sistem target.

Di bawah ini adalah contoh menjalankan RemoteMonologue dengan serangan downgrade NetNTLMv1 saat menggunakan Responder sebagai pendengar. Secara default, jika tidak ada opsi DCOM yang ditentukan, alat menggunakan objek DCOM ServerDataCollectorSet.

Menjalankan RemoteMonologue untuk menangkap kredensial
Gambar 14: Menjalankan RemoteMonologue untuk menangkap kredensial

Berikut adalah contoh lainnya. Kali ini, serangan dijalankan menggunakan objek FileSystemImage DCOM dan memungkinkan layanan WebClient untuk mendapatkan autentikasi HTTP, yang kemudian disampaikan ke LDAP menggunakan ntlmrelayx.

Memaksa autentikasi HTTP untuk menyampaikan ke LDAP
Gambar 15: Memaksa autentikasi HTTP untuk menyampaikan ke LDAP

Pertimbangan defensif

Untuk melindungi dan mendeteksi teknik yang dijelaskan dalam blog ini, beberapa tindakan pencegahan dan deteksi dapat diterapkan.

Tindakan pencegahan:

  1. Aktifkan penandatanganan LDAP dan pengikatan saluran: Konfigurasikan penegakan penandatanganan LDAP dan pengikatan saluran pada pengontrol domain untuk melindungi titik akhir LDAP dari serangan relai. Catatan: Pengaturan ini akan diberlakukan secara default dimulai dengan Windows Server 2025.
  2. Tingkatkan ke versi Windows terbaru:Tingkatkan server ke Windows Server 2025 dan workstation ke Windows 11 versi 24H2 untuk mengurangi serangan downgrade NetNTLM, karena NTLMv1 telah dihapus dalam versi ini.
  3. Menerapkan penandatanganan SMB: Aktifkan dan terapkan penandatanganan SMB di server Windows untuk mencegah serangan relay SMB.
  4. Terapkan kebijakan kata sandi yang kuat: Berlakukan persyaratan kata sandi yang kuat untuk membuat serangan pemecah kata sandi menjadi lebih sulit.

Peluang deteksi:

  1. Memantau akses jarak jauh ke objek DCOM: Lacak akses ke objek DCOM yang terpengaruh dan Properties dan Methods spesifiknya untuk mengidentifikasi aktivitas yang tidak biasa.
  2. Memantau modifikasi registri: Memantau perubahan pada kunci registri RunAs dan LMCompatibilityLevel.
  3. Melacak aktivitas layanan WebClient: Pantau instans di mana layanan WebClient diaktifkan dari jarak jauh, karena ini digunakan untuk memfasilitasi otentikasi NTLM berbasis HTTP.

Kesimpulan

Serangan RemoteMonologue menunjukkan bagaimana objek DCOM yang kurang dimanfaatkan dapat dipersenjatai untuk melakukan serangan paksaan autentikasi yang disamarkan dan tanpa file. Dengan memodifikasi properti tertentu dan memanfaatkan teknik seperti downgrade NetNTLMv1, penyerang dapat membobol akun pengguna dan meningkatkan hak istimewa tanpa menerapkan payload atau langsung mengakses proses sensitif seperti LSASS.

Dengan berfokus pada penguatan sistem kunci, seperti menegakkan penandatanganan LDAP, penandatanganan SMB, dan penonaktifan protokol lama seperti NTLMv1, pakar perlindungan sistem dapat secara signifikan mengurangi permukaan serangan. Selain itu, pemantauan yang ketat terhadap modifikasi registri, aktivitas DCOM, dan perubahan layanan jarak jauh dapat membantu mendeteksi teknik ini pada tahap awal dan mengurangi dampaknya.

