红队新技术RemoteMonologue利用 DCOM 远程获取 NTLM 身份验证

随着微软加强对传统凭据窃取方法的管控，以及终端检测与响应（EDR）系统日趋成熟，红队开始转向创新的无文件攻击手法。

最新披露的_RemoteMonologue_技术正是这一趋势的体现。安全研究员Andrew Oliveau揭示，该技术通过滥用分布式组件对象模型（DCOM）对象，无需植入载荷或直接接触本地安全机构子系统服务（LSASS），即可远程强制触发NTLM身份验证。

这项技术在Oliveau最新博客中详细阐述，其利用Windows组件对象模型（COM）和DCOM长期被忽视的复杂性来窃取凭证，同时规避常见检测机制。

COM与DCOM：红队新战场

作为Windows基础技术，COM支持跨进程软件组件交互，而DCOM更将其扩展至网络层面。尽管这些技术已有数十年历史，却仍是Windows应用与服务的核心，为攻击者提供了丰富的攻击面。

Oliveau的研究指出，DCOM基于网络的功能（通常需本地管理员权限）可被滥用于横向移动和凭证窃取。通过操控COM对象属性和方法，攻击者可强制触发向受控系统发起的认证请求，从而捕获NTLMv1或NTLMv2哈希用于离线破解或中继攻击。

RemoteMonologue的关键在于HKEY_CLASSES_ROOT\AppID\{AppID_GUID}下的"RunAs"注册表项。当该值设为"Interactive User"时，DCOM对象将在已登录用户的会话上下文中执行。

Oliveau发现，本地管理员可利用SeTakeOwnershipPrivilege权限夺取AppID注册表项控制权，修改其RunAs值，强制DCOM对象以其他用户身份运行，而无需获取该用户凭证。

强制触发NTLM认证

该技术通过DCOM强制触发NTLM认证，规避传统基于载荷的攻击方式。这种"无文件"手法因无需接触LSASS或传输可执行文件，显著降低被检测风险。

其优势包括：捕获可破解的NTLM哈希、中继至LDAP/SMB等服务、规避载荷扫描。由于多数域控制器在Windows Server 2025前未强制LDAP签名与通道绑定，且非域控服务器SMB签名可选，此类中继仍具可行性。通过将目标的LmCompatibilityLevel降级至2或更低，可强制使用更易破解的NTLMv1协议，结合公开彩虹表可加速破解。

重点攻击对象

Oliveau锁定了三类可利用的DCOM对象：

1. ServerDataCollectorSet ({03837546-098B-11D8-9414-505054503030})：其DataManager.Extract方法接受UNC路径参数，可触发向恶意监听器的NTLM认证。
2. FileSystemImage ({2C941FC5-975B-59BE-A960-9A2A262853A5})：通过修改WorkingDirectory属性为UNC路径强制认证——这是唯一通过属性而非方法实现的攻击方式。
3. UpdateSession ({4CB43D7F-7EEE-4906-8698-60DA1C38F2FE})：AddScanPackageService方法接受UNC路径，可捕获机器账户凭证，用于伪造白银票据或攻击Active Directory权限。

Oliveau基于Impacket开发的Python工具实现了自动化攻击。RemoteMonologue支持NetNTLMv1降级、启用WebClient服务实现基于HTTP的中继，并包含凭证喷洒和会话枚举模块。演示显示该工具可通过Responder捕获NTLMv2哈希，或通过ntlmrelayx将HTTP认证中继至LDAP。

防御者可采取以下措施：强制实施LDAP签名与通道绑定、升级至Windows Server 2025和Windows 11 24H2（已弃用NTLMv1）、强制SMB签名。高强度密码可有效抵御破解，监控DCOM访问、注册表变更（如RunAs、LmCompatibilityLevel）及WebClient活动可提供检测机会。

RemoteMonologue揭示了DCOM作为隐蔽攻击载体的潜力，迫使防御者加强传统Windows组件的防护。随着红队不断适应防御演进，主动加固与持续监控将成为制胜关键。

• 参考：https://www.ibm.com/think/x-force/remotemonologue-weaponizing-dcom-ntlm-authentication-coercions