このフレームワークは「レッドチーム」の考え方で開発されており、リモートマシンをステルスモードでアクセスします。DVSフレームワークには、DCOMアクセスをリモートで再度有効にし、攻撃しているユーザーに必要なアクセス許可を自動的に付与することにより、DCOMに対するセキュリティ強化をバイパスするさまざまな方法が含まれています。
フレームワークは、リモートマシンの変更を攻撃前の元の状態に戻すこともできます。つまり、攻撃の痕跡を隠します。狙いは、DCOMオブジェクトを使用してコマンドを実行する事です。
防御方法
1. DCOMプロトコルを無効にする
dcomcnfg.exeを用いてMy ComputerのDefault PropertyからDCOMを無効に
2. LAPSツールでパスワードを管理する
ドメイン端末のローカル管理者アカウントのパスワードをランダムなものにする
https://msrc-blog.microsoft.com/…/local-administrator…/
3. ユーザー権限の見直し
ローカルグループポリシーの「ネットワークからこのコンピューターにアクセスする」権限を取り消す。
4. DCOM特権の見直し
dcomcnfg.exeを用いてMy ComputerのCOM SecurityのLanch and Activation Permissionで Remote Lanchと Remote Activationを無効に
