一款名为BitlockMove的新型概念验证（PoC）工具展示了一种新颖的横向移动技术，该技术利用了BitLocker的分布式组件对象模型（DCOM）接口和COM劫持。

该工具由r-tec网络安全公司的安全研究员法比安·莫施发布，它能让攻击者在已登录用户的会话中在远程系统上执行代码，无需窃取凭证或冒充账户。

BitlockMove工具

BitlockMove工具利用了某些COM类在配置为“交互式用户”时能够在当前用户会话上下文中生成进程这一特性。

假设这些进程也容易受到组件对象模型（COM）劫持的影响。在这种情况下，攻击者可以远程修改注册表，通过服务器消息块（SMB）传递恶意动态链接库（DLL），并通过分布式组件对象模型（DCOM）触发其执行。

这种技术的隐蔽性特别强，因为恶意代码直接在目标用户的环境中运行，与从LSASS中窃取凭据等传统方法相比，产生的入侵指标更少。

该概念验证（PoC）专门针对BDEUILauncher Class（CLSID为ab93b6f1-be76-4185-a488-a9001b105b94），该类可以启动多个进程。其中一个进程BaaUpdate.exe在使用特定参数启动时易受COM劫持攻击。

该工具从远程系统劫持了一个相关的BitLocker类标识符（A7A63E5C-3877-4840-8727-C1EA9D7A4D50）。由于BitLocker最常在Windows客户端操作系统上启用，这种横向移动技术主要对工作站有效，而非服务器。

BitlockMove的操作模式

这款用C#编写的工具具有两种不同的运行模式：枚举模式和攻击模式。

• 枚举模式：攻击者可利用此模式识别目标主机上的活跃用户会话。这使得威胁执行者能够选择高权限用户（如域管理员）作为攻击对象。

• 攻击模式：在此模式下，该工具执行攻击。攻击者指定目标主机、活动会话的用户名、恶意DLL的放置路径以及要执行的命令。然后，该工具执行远程COM劫持，触发有效载荷，并通过从注册表中移除劫持项和删除DLL进行清理。

防御者可以通过监控特定行为来检测这种技术。关键指标包括对目标BitLocker相关CLSID的远程COM劫持，随后BaaUpdate.exe进程从劫持位置加载新放置的DLL。

从BaaUpdate.exe或BdeUISrv.exe生成的可疑子进程也是明显的入侵迹象。安全团队可以构建威胁狩猎查询来寻找BdeUISrv.exe进程的存在，因为它的合法使用非常罕见。

该概念验证（PoC）使用硬编码的DLL，这使得基于签名的检测变得简单直接；然而，攻击者可以轻松创建自定义DLL来规避此类防御措施。