DCOM 上传和执行：SQL Server 实例横向移动到云环境的新方法

微软的安全团队最近发现了一种独特的攻击技术，展示了一种从 SQL Server 实例横向移动到云环境的新方法。安全形势在不断发展，这一最新发现向组织发出了警告，攻击者可以利用新环境中的已知漏洞以复杂的方式进行攻击。

攻击者首先利用应用程序中的 SQL 注入漏洞，授予他们对 Azure 虚拟机中 Microsoft SQL Server 实例的访问权限和提升权限。虽然 SQL 注入并不是什么新鲜事，但随后试图通过服务器的云身份进行横向移动却是一件新鲜事。云身份通常是 SQL Server 等云服务不可或缺的一部分，可能拥有在云中执行操作的提升权限。因此，这种攻击的安全隐患不容小觑。

警惕的 Microsoft Defender for SQL 发出了多个警报，让 Microsoft 能够更深入地研究云横向移动技术。虽然攻击者似乎没有实现他们的最终目标，但对于 IT 专业人员来说，认识到这种威胁的新颖性至关重要。

安全团队将此次活动描述为基于云的攻击策略的转变，不同于传统的本地技术。在云中，横向移动通常涉及利用与资源相关联的云身份。Azure 和其他云服务为此目的采用了托管身份。然而，这些托管身份尽管方便高效，但如果没有得到妥善保护，也可能成为攻击的途径。

在重点介绍的攻击中，攻击者通过 SQL 注入获得访问权限后，执行了多条 SQL 语句来收集有关服务器环境的深入数据。攻击者利用看似提升的权限，激活了“xp_cmdshell”命令，该命令通常由于其潜在漏洞而被禁用。启用该命令后，攻击者能够执行操作系统命令，本质上就是授予他们在主机上的 shell。

攻击者使用简单的技术检索目录、进程和网络共享，甚至下载编码和压缩的 PowerShell 脚本。为了保持持久性，他们设置了一个启动后门脚本的计划任务，并试图获取凭据。

有趣的是，数据泄露方法既新颖又谨慎。攻击者利用了“webhook.site”，这是一项用于检查和调试传入 HTTP 请求的公共服务。这种方法掩盖了他们的行为，使传出的流量看起来合法。

他们最有趣的做法是试图利用 SQL Server 实例的云身份。通过访问实例元数据服务 (IMDS)（一种提供有关 VM 的信息的服务），他们旨在获取云身份访问密钥。尽管他们的努力因错误而受阻，但这种策略强调了保护云身份的重要性。

Deep Instinct Security 研究员 Eliran Nissan 发现了一种新的、强大的横向移动技术“DCOM 上传和执行”，重新定义了攻击者如何利用分布式组件对象模型 (DCOM) 接口进行远程代码执行。这项研究不仅详细介绍了漏洞，还强调了一种利用 Windows 系统中的 IMsiServer 接口安装后门的高级方法。

最新披露的攻击利用了 IMsiServer COM 接口（Windows Installer 服务的一个组件），绕过了传统的 DCOM 强化机制。报告将该技术描述为“一种强大的新型 DCOM 横向移动攻击，允许将自定义 DLL 写入目标计算机，将其加载到服务中，并使用任意参数执行其功能。”

与之前的 DCOM 攻击不同，此方法不依赖于常见的 IDispatch 接口，因此可以规避许多常规检测机制。相反，它使用高级逆向工程技术深入研究未记录的 IMsiServer 功能，以实现远程执行。

攻击分为几个阶段：

1. DLL 创建和上传：使用 IMsiCustomAction 接口内的函数，攻击者可以通过可预测的路径将恶意 DLL 上传到目标的全局程序集缓存 (GAC)。

2. 远程执行：然后使用 LoadEmbeddedDLL 方法加载有效负载，然后调用 CallInitDLL 执行从恶意 DLL 导出的函数。

3. 后门功能：一旦执行，攻击者可以远程与有效载荷交互，有效地将后门嵌入受害者的系统中。

研究人员还开发了一个实用的概念验证（PoC）工具来演示对最新 Windows 版本的攻击。

攻击的主要特点

• 新颖的利用路径：与以前针对 IDispatch 等知名接口的 DCOM 攻击不同，此方法将攻击面扩展到 IMsiServer 等记录较少的接口。

• 隐秘的横向移动：通过利用模糊的 COM 对象，攻击绕过了许多传统的监控工具。

• 可预测的文件路径：自定义有效载荷被策略性地放置在 GAC 中以实现可靠执行。

限制和危害指标

虽然这种攻击威力很大，但它受到某些条件的限制：

• 攻击者和受害者系统必须位于同一个域或林中。

• 有效负载必须是强名称 .NET 程序集，x86 或 x64。

此次攻击留下了明显的攻击指标（IOC）：

1. 显示 DCOM 访问的远程身份验证日志。

2. 具有异常子进程的 MSIEXEC 进程。

3. 写入 GAC 并从 GAC 加载的恶意 DLL。

“DCOM 上传和执行”技术凸显了横向移动攻击的复杂性。通过绕过传统的利用途径，这项研究揭示了被忽视或记录不足的 COM 接口如何成为强大的攻击媒介。该报告警告说：“此处介绍的研究证明，许多意想不到的 DCOM 对象可能被利用来进行横向移动，应采取适当的防御措施。”

原文始发于微信公众号（Khan安全攻防实验室）：DCOM 上传和执行：SQL Server 实例横向移动到云环境的新方法