Hari-hari dengan mudah memperoleh kredensial dengan Mimikatz, baik atau buruk, akan segera berakhir. Seiring Microsoft memperkuat pertahanannya terhadap pencurian kredensial dan solusi Deteksi dan Respons Titik Akhir (EDR) terus berkembang, teknik red team tradisional seperti gerakan lateral, eksekusi muatan, dan akses langsung ke Local Security Authority Subsystem Service (LSASS) menjadi semakin diawasi. Akibatnya, komunitas Red Team telah dipaksa untuk menjelajahi metode alternatif untuk memanen kredensial pada sistem Windows.
Bayangkan mencapai hasil yang sebanding tanpa perlu beban kerja "canggih" atau mengakses LSASS, hanya dengan “memanfaatkan apa yang ada” dan menggunakan objek Component Object Model (COM) yang kurang dimanfaatkan. Jika itu membuat Anda bersemangat, lanjutkan, karena blog ini berisi trik menyenangkan yang dapat Anda gunakan dalam upaya Anda berikutnya.
Kami akan membahas secara singkat dasar-dasar COM dan komponen terdistribusinya, Distributed Component Object Model (DCOM), menyelami pengaturan RunAs dan mengapa paksaan otentikasi berdampak dan memperkenalkan alat pemanenan kredensial baru - RemoteMonologue.
Model Komponen Objek (COM) adalah salah satu teknologi tertua dan paling meresap di Windows, diam-diam beroperasi di balik layar aplikasi dan layanan sehari-hari. Terlepas dari usianya, COM tetap menjadi sumber daya yang berharga bagi penyerang, menawarkan cara alternatif untuk mencapai gerakan lateral, eskalasi hak istimewa, dan kegigihan. Namun, kompleksitas yang melekat telah membuat sebagian besar permukaan serangannya kurang dieksplorasi.
Untuk blog ini, konsep kunci untuk dipahami adalah:
Pada tingkat tinggi, pikirkan objek COM sebagai unit mandiri dengan dua komponen utama:
Penyerang dapat menyalahgunakan metode ini untuk memfasilitasi gerakan lateral dan, seperti yang akan kami ilustrasikan segera, memaksa autentikasi NTLM jarak jauh untuk pemecahan kata sandi dan serangan relai.
Sebelum menyelam ke hal-hal yang menyenangkan, satu komponen penting dari COM perlu dibahas secara lebih terperinci. Pengidentifikasi aplikasi (AppID) di COM berfungsi sebagai mekanisme kunci untuk mengelola keamanan, identitas, dan perilaku waktu proses aplikasi COM, terutama dalam skenario yang melibatkan DCOM atau aplikasi yang memerlukan konteks keamanan tertentu. Ketika kelas COM terdaftar dengan AppID, ia mewarisi pengaturan keamanan yang ditentukan untuk AppID tersebut.
Pengaturan keamanan yang paling penting adalah kunci RunAs, yang menentukan akun pengguna mana yang akan digunakan untuk mengeksekusi objek DCOM pada saat instantiasi. Kunci RunAs dapat ditemukan di registri di bawah:
Saat meninjau dokumentasi Microsoft tentang DCOM dan kunci RunAs, satu nilai spesifik menonjol: Pengguna Interaktif. Nilai ini mengonfigurasi objek DCOM untuk dieksekusi di bawah konteks keamanan pengguna yang saat ini masuk ke sesi konsol sistem. Dari perspektif ofensif, ini menarik karena memungkinkan kami memanfaatkan objek DCOM untuk beroperasi sebagai pengguna lain tanpa mengetahui kredensial pengguna yang terpengaruh.
Tidak semua objek DCOM dengan AppID memiliki nilai RunAs yang disetel ke Interactive User (Pengguna Interaktif). Faktanya, sekitar setengah dari AppID tidak memiliki nilai RunAs yang ditetapkan sama sekali. Namun, bagaimana jika nilai RunAs dapat ditambahkan atau dimodifikasi agar sesuai dengan tujuan kita?
Secara default, AppID dalam registri diamankan dengan Discretionary Access Control List (DACL), memberikan hak kepemilikan TrustedInstaller dan membatasi administrator lokal untuk akses read-only, seperti yang ditunjukkan pada Gambar 1.
Namun, administrator lokal diberikan hak istimewa SeTakeOwnershipPrivilege, yang memungkinkan mereka untuk mengambil kepemilikan objek sistem, termasuk kunci registri. Hak istimewa ini relevan untuk serangan ini karena memungkinkan kita untuk mengubah kepemilikan AppID. Setelah kepemilikan diubah, kami dapat memberi diri kami izin Kontrol Penuh atas AppId dan kemudian mengubah pengaturannya untuk menambah atau mengubah nilai RunAs.
Setelah nilai RunAs dimodifikasi menjadi Pengguna Interaktif, serangan menjadi mudah. Ini memungkinkan kita untuk memaksa objek DCOM untuk berjalan dalam konteks sesi aktif lainnya. Namun, keberhasilan serangan ini pada akhirnya tergantung pada Properti dan Metode yang diekspos oleh objek DCOM tertentu yang ditargetkan.
Sekarang setelah kita tahu bahwa objek DCOM dapat diubah menjadi alat pembajakan sesi, langkah selanjutnya adalah mengidentifikasi Methods dan Properties mana yang dapat dimanfaatkan untuk menyelesaikan pembajakan. Untuk riset ini, saya menjelajahi apakah pembobolan pengguna dapat dicapai tanpa menjalankan payload—dengan menerapkan pendekatan yang berbeda dari kebanyakan teknik gerakan lateral DCOM publik.
Saya fokus untuk mencapai hasil yang sebanding dalam format “tanpa file”, yang berarti tidak perlu mentransfer atau menjalankan muatan pada sistem target. Perbedaan ini penting karena mentransfer dan menjalankan muatan pada sistem target sering dianggap sebagai tindakan “mahal” dalam operasi Red Team. Dengan menghindari langkah ini, risiko memicu kontrol keamanan umum berkurang secara signifikan. Oleh karena itu, saya bertujuan untuk mengkompromikan akun pengguna jarak jauh dengan memaksa autentikasi NTLM melalui DCOM.
Ada beberapa manfaat utama untuk memaksa otentikasi NTLM daripada melakukan teknik gerakan lateral tradisional:
Pada penulisan ini, penandatanganan LDAP dan pengikatan saluran tidak diperlukan dan diberlakukan secara default pada sebagian besar pengontrol domain. Fitur keamanan ini hanya wajib di Windows Server 2025. Ini berarti bahwa jika kita dapat memaksa otentikasi NTLMv1 atau WebDAV dari sistem target, kita dapat menyampaikannya ke LDAP dan melakukan tindakan sebagai pengguna yang terpengaruh. Demikian pula, penandatanganan SMB tidak diperlukan secara default pada server Windows, kecuali untuk pengontrol domain.
Pertimbangan penting lainnya adalah bahwa hash NTLMv1 dapat di-crack secara sepele menggunakan tabel pelangi, yang telah dibagikan secara publik oleh Nic Losby pada Desember 2024. Tabel ini secara drastis mengurangi waktu dan upaya yang diperlukan untuk memulihkan kredensial NTLM dari hash NTLMv1. Untuk mendapatkan hash NTLMv1 alih-alih hash NTLMv2, kami memodifikasi kunci registri berikut pada sistem target:
Menyetel LMCompatibilityLevel ke nilai 2 atau kurang memaksa sistem untuk kembali ke NTLMv1 untuk autentikasi. Modifikasi ini dimungkinkan dengan hak administrator lokal dan biasanya disebut sebagai “serangan downgrade NetNTLMv1”.
Atau, kita dapat menangkap otentikasi WebDAV dan meneruskannya ke LDAP, karena otentikasi berbasis HTTP dapat diteruskan ke layanan ini. Jika layanan WebClient belum berjalan dengan akses istimewa, kami dapat mengaktifkannya dari jarak jauh di sistem target. Setelah diaktifkan, kita dapat memaksa otentikasi NTLM WebDAV ke pendengar kita dengan menentukan nama NetBIOS mesin di jalur UNC. Sebagai contoh:
Untuk informasi lebih lanjut tentang serangan relai NTLM dan protokol yang dapat diteruskan ke titik akhir yang berbeda, lihat sumber daya berikut di sini.
Selama penelitian saya, saya menganalisis objek DCOM ServerDataCollectorSet, yang memiliki CLSID {03837546-098B-11D8-9414-505054503030}, untuk mengidentifikasi Metode dan Properti yang dapat dimanfaatkan untuk paksaan otentikasi. Salah satu properti yang menonjol adalah DataManager, dan untungnya, objek COM ini menyertakan Pustaka Tipe, yang mendefinisikan Metode dan Properti secara lebih terperinci.
Dengan menggunakan OleView.NET, saya ulasan Pustaka Jenis ServerDataCollectorSet’s dan menemukan bahwa properti DataManager memiliki metode Extract yang mengharapkan dua parameter:
Kehadiran parameter CabFileName sangat menarik karena hal itu menunjukkan kemungkinan untuk memasukkan jalur UNC, yang dapat memicu tindakan autentikasi jaringan.
Untuk menguji teori ini, saya menyediakan jalur UNC untuk parameter CabFilename yang mengarah ke sistem saya(172.22.164.58) menjalankan Responder, seperti yang ditunjukkan pada Gambar 4. Hasilnya? Berhasil! Kami dapat menangkap hash NTLMv2, seperti yang ditunjukkan pada Gambar 5.
Selanjutnya, saya menguji apakah mungkin untuk mengambil kredensial dari pengguna yang berbeda pada sistem jarak jauh (172.22.166.170) dengan memodifikasi kunci RunAs ServerDataCollectorSet. Untuk mencapai hal ini, saya menggunakan layanan Remote Registry untuk menambahkan nilai Interactive User untuk AppID {03837503-098B-11D8-9414-505054503030}.
Setelah pengguna yang berbeda masuk ke sistem target (dalam hal ini, GALAXY\yoda), saya mengakses objek DCOM ServerDataCollectorSet sebagai GALAXY\Administrator dan menjalankan metode Extract yang sama yang ditunjukkan pada Gambar 6. Sekali lagi, saya berhasil mengambil autentikasi; namun, kali ini dari GALAXY\yoda, seperti yang ditunjukkan pada Gambar 7. Ini menunjukkan bahwa modifikasi kunci RunAs ke Interactive User memungkinkan kita memanfaatkan objek DCOM untuk membajak sesi dari pengguna lain.
Aliran serangan ini ditunjukkan pada diagram di bawah ini.
Objek DCOM menarik lainnya yang rentan terhadap pemaksaan autentikasi adalah FileSystemImage, yang memiliki CLSID {2C941FC5-975B-59BE-A960-9A2A262853A5}. Objek ini sangat unik karena paksaan dipicu hanya dengan memodifikasi Properti daripada memanggil Metode - teknik yang kurang umum dalam serangan berbasis DCOM.
Properti yang dimaksud adalah WorkingDirectory, yang secara default menunjuk ke folder %TEMP% pengguna interaktif. Namun, dengan mengubah nilai WorkingDirectory ke jalur UNC yang menunjuk ke pendengar kita, dimungkinkan untuk menangkap otentikasi NTLMv2, seperti yang ditunjukkan pada Gambar 9 dan 10.
Untuk memvalidasi kemampuan pembajakan sesinya, saya menguji ini dari jarak jauh dengan menyetel kunci RunAs untuk AppID {2C941FD1-975B-59BE-A960-9A2A262853A5} ke Interactive User. Konfigurasi ini memicu objek FileSystemImage DCOM untuk dieksekusi di sesuai dengan konteks keamanan pengguna aktif pada sistem target. Dan, sesuai perkiraan, saya dapat menangkap hash NTLMv2 untuk pengguna itu.
Teknik ini menunjukkan bahwa paksaan autentikasi dapat dicapai dengan memodifikasi Properties serta Methods, sehingga memperluas potensi permukaan serangan objek DCOM.
Satu objek DCOM terakhir yang perlu dibagikan adalah UpdateSession, yang memiliki CLSID {4CB43D7F-7EEE-4906-8698-60DA1C38F2FE}. Saat meninjau Pustaka Tipenya, Metode AddScanPackageService menonjol karena memerlukan argumen ServiceName dan, yang lebih menarik, argumen ScanFileLocation. Kehadiran ScanFileLocation mengisyaratkan bahwa solusi ini mungkin menerima jalur UNC.
Saat menguji teori ini, kami berhasil menangkap autentikasi NTLMv2. Namun, alih-alih mendapatkan kredensial akun pengguna, kami justru menerima kredensial akun mesin, seperti yang ditunjukkan di bawah ini.
Temuan ini sangat menarik karena, bahkan setelah menambahkan kunci RunAs dan mengaturnya ke Interactive User, objek DCOM UpdateSession masih melakukan operasi jaringan sebagai akun mesin. Jadi, mengapa ini terjadi? Jawaban sederhananya adalah bahwa, meskipun objek DCOM itu sendiri berjalan di sesuai dengan konteks keamanan pengguna instantiating atau interaktif, operasi jaringan dilakukan oleh proses terpisah: svchost.exe. Jalur UNC diserahkan ke svchost.exe, yang selalu menjadi default untuk akun SYSTEM untuk operasi ini. Oleh karena itu, pengaturan kunci RunAs tidak memengaruhi perilaku ini.
Meskipun kunci RunAs tidak mempengaruhi akun yang digunakan untuk operasi jaringan, menangkap kredensial akun mesin masih berharga untuk beberapa skenario serangan:
Serangan ini dinamakan RemoteMonologue, karena fungsinya mirip dengan InternalMonologue, dengan perbedaan utama yaitu melakukan serangan dari jarak jauh. Alat ini dikembangkan dalam Python menggunakan pustaka Impacket dan mengotomatiskan proses serangan.
RemoteMonologue menyediakan kemampuan untuk menargetkan salah satu dari tiga objek DCOM yang disebutkan di atas (-dcom) untuk melakukan paksaan autentikasi terhadap listener tertentu (-auth-to). Selain itu, fitur modul penyemprotan (-spray) untuk memvalidasi kredensial di beberapa sistem, dengan manfaat tambahan untuk menangkap kredensial. Alat ini juga mendukung serangan downgrade NetNTLMv1 (-downgrade) dan memiliki opsi untuk mengaktifkan layanan WebClient untuk memfasilitasi autentikasi HTTP (-webclient). Terakhir, alat ini menyertakan modul kueri (-query) untuk menghitung pengguna dengan sesi aktif pada sistem target.
Di bawah ini adalah contoh menjalankan RemoteMonologue dengan serangan downgrade NetNTLMv1 saat menggunakan Responder sebagai pendengar. Secara default, jika tidak ada opsi DCOM yang ditentukan, alat menggunakan objek DCOM ServerDataCollectorSet.
Berikut adalah contoh lainnya. Kali ini, serangan dijalankan menggunakan objek FileSystemImage DCOM dan memungkinkan layanan WebClient untuk mendapatkan autentikasi HTTP, yang kemudian disampaikan ke LDAP menggunakan ntlmrelayx.
Untuk melindungi dan mendeteksi teknik yang dijelaskan dalam blog ini, beberapa tindakan pencegahan dan deteksi dapat diterapkan.
Tindakan pencegahan:
Peluang deteksi:
Serangan RemoteMonologue menunjukkan bagaimana objek DCOM yang kurang dimanfaatkan dapat dipersenjatai untuk melakukan serangan paksaan autentikasi yang disamarkan dan tanpa file. Dengan memodifikasi properti tertentu dan memanfaatkan teknik seperti downgrade NetNTLMv1, penyerang dapat membobol akun pengguna dan meningkatkan hak istimewa tanpa menerapkan payload atau langsung mengakses proses sensitif seperti LSASS.
Dengan berfokus pada penguatan sistem kunci, seperti menegakkan penandatanganan LDAP, penandatanganan SMB, dan penonaktifan protokol lama seperti NTLMv1, pakar perlindungan sistem dapat secara signifikan mengurangi permukaan serangan. Selain itu, pemantauan yang ketat terhadap modifikasi registri, aktivitas DCOM, dan perubahan layanan jarak jauh dapat membantu mendeteksi teknik ini pada tahap awal dan mengurangi dampaknya.
