Боковое перемещение: DCOM В MITRE DCOM объясняется следующим образом:

Windows Distributed Component Object Model (DCOM) -это прозрачное промежуточное программное обеспечение, которое расширяет функциональные возможности COM за пределы локального компьютера с использованием технологии RPC. COM — это компонент интерфейса прикладного программирования Windows (API), обеспечивающий взаимодействие между программными объектами. Через COM клиентский объект может вызывать методы серверных объектов, которые обычно представляют собой библиотеки динамической компоновки (DLL) или исполняемые файлы (EXE).

Другими словами, если в интерфейсе DCOM есть функция выполнения кода, то его можно использовать для реализации бокового перемещения. Чтобы использовать DCOM для бокового перемещения требуются права локального администратора.

Хотя некоторые исследователи пишут, что членство в группе `Distributed COM Users` дает возможность бокового перемещения мне не удалось найти объект DCOM для выполнения этой задачи без повышенных привилегий.

В данном методе самым сложным является найти подходящие объекты для бокового перемещения с использованием DCOM. Но исследователи уже обнаружили несколько таких объектов. В примере ниже рассматривается использование объекта DCOM ShellWindows (CLSID:9BA05972-F6A8-11CF-A442-00A0C90A8F39):

$dcom = [System.Activator]::CreateInstance([Type]::GetTypeFromCLSID("9BA05972-F6A8-11CF-A442-00A0C90A8F39","comp2.windomain.local"))
$dcom[0].Document.Application.ShellExecute("сmd.exe", "/c whoami > c:\Windows\Temp\result.txt")

Некоторые другие объекты DCOM, подходящие для бокового движения реализованы в скрипте. Боковое перемещение с использованием DCOM не предоставляет интерактивной оболочки поэтому результат выполнения команды нельзя увидеть, но можно сделать перенаправление в файл. В целом можно использовать метод SMBExec и создать утилиту. В зависимости от прав доступа результат выполнения команды можно записывать в виде файла на административный диск C$ или на общий ресурс, затем считывать данные и отдавать их в «консоль» и удалять файл. Средства защиты уже знают об этих методах и все что запускается, так или иначе отображается на экране пользователя, даже запуск командной строки мелькает долю секунды. Если системе не сможет распознать выполненную команду, на экране будет выведено окно с предупреждением. Поэтому стоит внимательно к ним относиться в проектах Red Team. #Внутрянка #RedTeam #PurpleTeam