一款名为BitlockMove的新型概念验证(PoC)工具展示了一种新颖的横向移动技术,该技术利用了BitLocker的分布式组件对象模型(DCOM)接口和COM劫持。
该工具由r-tec网络安全公司的安全研究员法比安·莫施发布,它能让攻击者在已登录用户的会话中在远程系统上执行代码,无需窃取凭证或冒充账户。
BitlockMove工具
BitlockMove工具利用了某些COM类在配置为“交互式用户”时能够在当前用户会话上下文中生成进程这一特性。
假设这些进程也容易受到组件对象模型(COM)劫持的影响。在这种情况下,攻击者可以远程修改注册表,通过服务器消息块(SMB)传递恶意动态链接库(DLL),并通过分布式组件对象模型(DCOM)触发其执行。
这种技术的隐蔽性特别强,因为恶意代码直接在目标用户的环境中运行,与从LSASS中窃取凭据等传统方法相比,产生的入侵指标更少。
该概念验证(PoC)专门针对BDEUILauncher Class(CLSID为ab93b6f1-be76-4185-a488-a9001b105b94),该类可以启动多个进程。其中一个进程BaaUpdate.exe在使用特定参数启动时易受COM劫持攻击。
该工具从远程系统劫持了一个相关的BitLocker类标识符(A7A63E5C-3877-4840-8727-C1EA9D7A4D50)。由于BitLocker最常在Windows客户端操作系统上启用,这种横向移动技术主要对工作站有效,而非服务器。
BitlockMove的操作模式
这款用C#编写的工具具有两种不同的运行模式:枚举模式和攻击模式。
- 枚举模式:攻击者可利用此模式识别目标主机上的活跃用户会话。这使得威胁执行者能够选择高权限用户(如域管理员)作为攻击对象。
- 攻击模式:在此模式下,该工具执行攻击。攻击者指定目标主机、活动会话的用户名、恶意DLL的放置路径以及要执行的命令。然后,该工具执行远程COM劫持,触发有效载荷,并通过从注册表中移除劫持项和删除DLL进行清理。
防御者可以通过监控特定行为来检测这种技术。关键指标包括对目标BitLocker相关CLSID的远程COM劫持,随后BaaUpdate.exe进程从劫持位置加载新放置的DLL。
从BaaUpdate.exe或BdeUISrv.exe生成的可疑子进程也是明显的入侵迹象。安全团队可以构建威胁狩猎查询来寻找BdeUISrv.exe进程的存在,因为它的合法使用非常罕见。
该概念验证(PoC)使用硬编码的DLL,这使得基于签名的检测变得简单直接;然而,攻击者可以轻松创建自定义DLL来规避此类防御措施。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
