快捷导航

通过 DCOM 的 ShellWindows & ShellBrowserWindow 进行横向渗透

[复制链接]
查看: 1977|回复: 0

                                                                [img][/img]
                                                                Windows 分布式组件对象模型(DCOM)是一种透明的中间件,它使用远程过程调用(RPC)技术将组件对象模型(COM)的功能扩展到本地计算机之外。COM 是支持软件对象之间交互的 Windows 应用程序编程接口(API)的组件。通过COM,客户机对象可以调用服务器对象的方法,这些对象通常是动态链接库(dll)或可执行文件(exe)
与本地和远程服务器 COM 对象交互的权限由访问控制列表(ACL)在注册表中决定。默认情况下,只有管理员可以通过 DCOM 远程激活和启动 COM 对象。
攻击者可使用 DCOM 进行横向移动,通过 DCOM,攻击者可在拥有适当权限的情况下通过 Office 应用程序以及包含不安全方法的其他 Windows 对象远程获取任意甚至直接的 shellcode 执行。
在本篇文章中,我们将主要关注与以下两个 COM 对象的使用相关的关键检测指标:
ShellWindows(clsid=9ba05972-f6a8-11cf-a442-00a0c90a8f39)
shellbrowserwindow(clsid=c08afd90-f2a1-11d1-8455-00a0c91f3880)
使用这些 COM 对象的优势在于,从父进程和子进程的关系来看,它看起来是合法的,因为攻击者远程执行的任何操作(例如,cmd.exe、powershell.exe 等)都将是 explorer.exe 的子进程。在这两个方法的执行过程中,我们观察到唯一可靠的指标是 explorer.exe 将绑定到监听的本地 TCP 端口(rpc 动态 TCP 端口 >=49152)。这是非常可疑的(explorer.exe 很少有网络连接,如果有,它将绑定到 Microsoft IP 范围,而不是高 TCP 端口到高 TCP 端口)
下面是使用 
  1. dcom\shellbrowserwindow com
复制代码
 对象远程执行 cmd.exe 时的示例:
https://www.heibai.org/zb_users/upload/2019/05/20190527003301_36752.jpg

[h3]Detection:[/h3]CBR: 
进程名:
  1. explorer.exe and ipport:[49152 TO *] and netconn_count:[1 TO *]
复制代码
我们可以使用安全日志 5158 来检测相同的行为:
IBM 查询语句:
select sourceport, destinationport from events where eventid=5158 and UTF8(payload) IMATCHES '(?i)(.*explorer.exe.*)' last 30 DAYS
https://www.heibai.org/zb_users/upload/2019/05/20190527003301_80145.jpg

[h3]参考文献:[/h3]
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=5158
https://enigma0x3.net/2017/01/23/lateral-movement-via-dcom-round-2/
https://attack.mitre.org/techniques/T1175/
[h2]原文地址[/h2]
https://blog.menasec.net/2019/02/threat-hunting-18-lateral-movement-via.html
[h2]Threat Hunting #17 -可疑的系统时间变化[/h2]安全事件 4616 记录系统时间的更改。合法的系统时间变化将有一下特征:
  1. svchost.exe
复制代码
 作为进程名
  1. NT AUTHORITY\LOCAL SERVICE
复制代码
 作为帐户名
https://www.heibai.org/zb_users/upload/2019/05/20190527003301_44028.jpg

[h3]参考文献:[/h3]
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4616
[h3]原文地址[/h3]
https://blog.menasec.net/2019/02/threat-hunting-19-suspicious-system.html
[h2]Threat Hunting #18 -Run/RunOnce - Shell-Core EID 9707/9708[/h2]使用 
  1. Microsoft Windows Shell Core/Operational EID 9707/9708
复制代码
(默认情况下打开)检测从 
  1. run/runonce
复制代码
 自启动位置运行的命令行进程,有利于取证,获取执行历史和计数。
事件文件路径:
%SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-Shell-Core%4Operational.evtx
以下是一台计算机正在运行或从 
  1. run/run one
复制代码
 运行的程序的案例:
https://www.heibai.org/zb_users/upload/2019/05/20190527003301_89861.jpg

这些事件对于查找使用 run 或 runone 作为启动机制来感染的痕迹非常有价值。
[h3]原文地址[/h3]
https://blog.menasec.net/2019/02/threat-hunting-20-runrunonce-eid.html
文章由:信安之路Nirvana翻译
                                                                                                                       
精彩推荐

讨论一下国内比较好的黑客技术学习网站

2014-07-10 随心随意

大数据时代,如何让个人信息不再“裸奔

2019-05-13 随心随意

暗月系列脚本渗透教程

2016-08-07 教程工具专区

黑客入门基础之黑客技术常用术语汇总

2019-05-04 随心随意

黑客社工专用身份证生成工具

2019-05-03 教程工具专区

emlog拿后台的几种方法

焦作理工大学的一次安全检测

关键词批量采集url网站工具

2018-04-09 教程工具专区

让创业更简单

  • 反馈建议:hackhl@outlook.com
  • 客服电话:暂时没有
  • 工作时间:周一到周五9点~22点

云服务支持

黑客联盟,快速搜索

关注我们

Copyright   Powered by©  技术支持: