红队新技术“RemoteMonologue”利用 DCOM 远程获取 NTLM 身份验证

正文

请到「今天看啥」查看全文

---

作为Windows基础技术，COM支持跨进程软件组件交互，而DCOM更将其扩展至网络层面。尽管这些技术已有数十年历史，却仍是Windows应用与服务的核心，为攻击者提供了丰富的攻击面。

Oliveau的研究 指出，DCOM基于网络的功能（通常需本地管理员权限）可被滥用于横向移动和凭证窃取。通过操控COM对象属性和方法，攻击者可强制触发向受控系统发起的认证请求，从而捕获 NTLMv1 或NTLMv2哈希用于离线破解或中继攻击。

RemoteMonologue的关键在于 HKEY\_CLASSES\_ROOT\\AppID\\{AppID\_GUID} 下的"RunAs"注册表项。当该值设为"Interactive User"时，DCOM对象将在已登录用户的会话上下文中执行。

请到「今天看啥」查看全文