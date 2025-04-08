DCOMオブジェクトをセッション・ハイジャック・ツールに変換できることがわかったので、次のステップは、ハイジャックを完了するためにどのメソッドとプロパティーを活用できるかを特定することです。この研究では、ペイロードを実行することなくユーザーの侵害を達成できるかどうかを探りました。これは、一般に公開されているDCOMの横移動の技術とは異なるアプローチです

ここでは、「ファイルレス」形式で同等の成果を達成することに重点を置きました。つまり、ターゲット・システム上でペイロードを転送または実行する必要がないということです。この違いが重要なのは、ターゲット・システム上でのペイロードの転送と実行は、Red Teamのオペレーションにおいて「コストがかかる」アクションとみなされることが多いからです。このステップを回避することで、一般的なセキュリティコントロールがトリガーされるリスクが大幅に軽減されます。そのため、DCOM経由でNTLM認証を強制することで、リモート・ユーザー・アカウントを侵害することを目指しました。

従来の横移動を実行するのではなく、NTLM認証を強制することには、いくつかの主要なメリットがあります。

NTLMv1/NTLMv2ハッシュをキャプチャし、オフラインで解読する

NTLMv1またはWebDAV NTLMv2ハッシュをLDAPやSMBなどの他のネットワーク・サービスに中継して、影響を受けるユーザーとしてアクションを実行する

通常、セキュリティー・ツールの監視を強化させることになる、ターゲット・システム上でのペイロードの転送と実行を回避する

LSASSプロセスへの接触を避け、検知リスクを軽減する

この記事を書いている時点では、ほとんどのドメイン・コントローラーでは、LDAP署名とチャネル・バインディングは、デフォルトで必要なく、強制されていません。これらの主要な機能は、Windows Server 2025でのみ必須です。つまり、ターゲット・システムからNTLMv1またはWebDAV認証を強制できた場合、それをLDAPに中継し、影響を受けるユーザーとしてアクションを実行できます。同様に、Windowsサーバーでは、ドメイン・コントローラーを除き、デフォルトではSMB署名は必要ありません。

もう一つの重要な考慮点は、NTLMv1のハッシュはレインボー・テーブルを用いて簡単にクラックできるということで、レインボー・テーブルは 2024 年 12 月の時点で、Nic Losbyによって公に共有されています。これらのテーブルにより、NTLMv1ハッシュから NTLM認証情報を回復するのに必要な時間と労力が大幅に削減されます。NTLMv2ハッシュの代わりにNTLMv1ハッシュを取得するには、ターゲットシステムの次のレジストリキーを変更します。

HKLM\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel

LmCompatibilityLevelを2以下の値に設定すると、システムは認証のためにNTLMv1にフォールバックします。この変更はローカル管理者権限で可能であり、一般に「NetNTLMv1ダウングレード攻撃」と呼ばれます。

あるいは、HTTPベースの認証はこのサービスに転送できるため、WebDAV認証をキャプチャしてLDAPに中継することもできます。WebClientサービスがまだ特権アクセスで実行されていない場合は、リモートによりターゲットシステム上で有効にできます。有効にすると、UNCパスにマシンのNetBIOS名を指定することで、我々のリスナーに対するWebDAV NTLM認証を強制できます。例：

\\MYHACKERBOX@80\giveme\creds.txt

NTLMリレー攻撃と、さまざまなエンドポイントに中継できるプロトコルの詳細については、参考情報をこちらで参照してください。