DCOMオブジェクトを使用したラテラルムーブメント:DVSフレームワーク

このフレームワークは「レッドチーム」の考え方で開発されており、リモートマシンをステルスモードでアクセスします。DVSフレームワークには、DCOMアクセスをリモートで再度有効にし、攻撃しているユーザーに必要なアクセス許可を自動的に付与することにより、DCOMに対するセキュリティ強化をバイパスするさまざまな方法が含まれています。

D(COM) V(ulnerability) S(canner) AKA Devious swiss army knife – Lateral movement using DCOM Objects

フレームワークは、リモートマシンの変更を攻撃前の元の状態に戻すこともできます。つまり、攻撃の痕跡を隠します。狙いは、DCOMオブジェクトを使用してコマンドを実行する事です。

防御方法

1. DCOMプロトコルを無効にする
 dcomcnfg.exeを用いてMy ComputerのDefault PropertyからDCOMを無効に

2. LAPSツールでパスワードを管理する
 ドメイン端末のローカル管理者アカウントのパスワードをランダムなものにする
 https://msrc-blog.microsoft.com/…/local-administrator…/

3. ユーザー権限の見直し
 ローカルグループポリシーの「ネットワークからこのコンピューターにアクセスする」権限を取り消す。

4. DCOM特権の見直し
 dcomcnfg.exeを用いてMy ComputerのCOM SecurityのLanch and Activation Permissionで Remote Lanchと Remote Activationを無効に

投稿者: 二本松 哲也

志を持った人たちと、夢に向かって共に働くことが私の誇りです。 サイバーセキュリティコンサルタント、IPAセキュリティプレゼンター、OWASPメンバー、2020年度総務省事業 テレワークセキュリティ専門家 I キャリア(個人事業主 PG→SE→PL→PM→ システムコンサルティング事業部 部長)、資格(2級知的財産管理技能士、個人情報保護士)、IPCC 地球温暖化防止コミュニケーター