Новые угрозы: технологии COM и атаки с помощью RemoteMonologue
Источник: www.ibm.com
Ситуация с перехватом учетных данных в сфере кибербезопасности претерпевает значительные изменения. Злоумышленники все чаще отходят от традиционных инструментов, таких как Mimikatz, на фоне усиления мер противодействия со стороны Microsoft и достижений в области решений EDR.
Новые направления в кибератаках
С ростом внимания к методам, включающим боковое перемещение, выполнение полезной нагрузки и прямой доступ к службе подсистемы локальных служб безопасности (LSASS), хакеры изучают альтернативные способы эффективного сбора учетных данных в системах Windows.
Использование COM и DCOM в атаках
Одним из заметных методов, который стал все более распространенным, является использование компонентной объектной модели (COM) и ее варианта, распределенной компонентной объектной модели (DCOM). Эти технологии позволяют проводить атаки без сложных полезных нагрузок.
COM — это давняя технология, встроенная в Windows, которая облегчает взаимодействие между программными компонентами. Недостаточно используемая поверхность для атак предоставляет злоумышленникам возможности для:
- Перемещения по сети;
- Повышения привилегий;
- Сохранения работоспособности в условиях атаки.
Введение нового инструмента: RemoteMonologue
Один из новых инструментов, RemoteMonologue, автоматизирует сбор учетных данных с помощью принудительной удаленной аутентификации. Это позволяет злоумышленникам обходить сложности доступа к LSASS.
RemoteMonologue работает, ориентируясь на определенные объекты DCOM и применяя принудительное воздействие к назначенным слушателям. Инструмент включает в себя возможности:
- Распределение учетных данных по нескольким системам;
- Сбор учетных данных;
- Поддержка атаки с понижением версии NetNTLMv1, что снижает риск обнаружения при компрометации учетных записей пользователей.
Преимущества использования RemoteMonologue
Кроме того, инструмент включает модуль запроса для перечисления пользователей целевой системы с активными сеансами. Это позволяет злоумышленнику лучше изучить среду перед началом атаки. Возможности RemoteMonologue подчеркивают смену парадигмы в том, как злоумышленники используют недостаточно используемые компоненты систем для проведения бесфайловых и скрытых атак.
«Злоумышленники могут эффективно компрометировать системы без прямых морфологических изменений чувствительных компонентов», — отмечают эксперты в области кибербезопасности.
Рекомендации для организаций
В связи с новыми угрозами, организациям настоятельно рекомендуется:
- Внедрять надежные превентивные меры;
- Разрабатывать средства обнаружения для защиты от сложных методов атак;
- Поддерживать целостность системы перед лицом меняющихся угроз.
Постоянно меняющийся характер методов атаки подчеркивает необходимость постоянного мониторинга и адаптации стратегий кибербезопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
