DCOMオブジェクトを使用したラテラルムーブメント:DVSフレームワーク

このフレームワークは「レッドチーム」の考え方で開発されており、リモートマシンをステルスモードでアクセスします。DVSフレームワークには、DCOMアクセスをリモートで再度有効にし、攻撃しているユーザーに必要なアクセス許可を自動的に付与することにより、DCOMに対するセキュリティ強化をバイパスするさまざまな方法が含まれています。

D(COM) V(ulnerability) S(canner) AKA Devious swiss army knife – Lateral movement using DCOM Objects

フレームワークは、リモートマシンの変更を攻撃前の元の状態に戻すこともできます。つまり、攻撃の痕跡を隠します。狙いは、DCOMオブジェクトを使用してコマンドを実行する事です。

防御方法

1. DCOMプロトコルを無効にする
 dcomcnfg.exeを用いてMy ComputerのDefault PropertyからDCOMを無効に

2. LAPSツールでパスワードを管理する
 ドメイン端末のローカル管理者アカウントのパスワードをランダムなものにする
 https://msrc-blog.microsoft.com/…/local-administrator…/

3. ユーザー権限の見直し
 ローカルグループポリシーの「ネットワークからこのコンピューターにアクセスする」権限を取り消す。

4. DCOM特権の見直し
 dcomcnfg.exeを用いてMy ComputerのCOM SecurityのLanch and Activation Permissionで Remote Lanchと Remote Activationを無効に

投稿者: 二本松 哲也

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させること ー 競争原理から共創原理へ