文章总结： 文章提出利用BitlockerDCOM接口与COM劫持实现客户端横向移动的PoC：通过远程注册表劫持CLSIDA7A63E5C-3877-4840-8727-C1EA9D7A4D50，把恶意DLL经SMB写入目标，再触发BaaUpdate.exe加载，使代码在当前登录用户会话执行，可凭据窃取或冒充用户，工具BitlockMove支持枚举与攻击模式，检测需监控远程COM键值、异常DLL加载及BaaUpdate.exe子进程。 综合评分： 82 文章分类： 横向移动,红队,漏洞POC,内网渗透,安全工具

通过 Bitlocker DCOM 接口和 COM 劫持进行横向移动

Ots安全

2026年1月13日 11:53 广东

通过 Bitlocker DCOM 和 COM 劫持进行横向移动。

横向移动的概念证明 (PoC) 滥用了这样一个事实，即某些配置的 COM 类INTERACTIVE USER将在当前登录用户会话的上下文中生成一个进程。

如果这些进程也容易受到 COM 劫持，我们可以通过远程注册表配置 COM 劫持，通过 SMB 删除恶意 DLL，并通过 DCOM 触发该 DLL 的加载/执行。

此技术无需接管系统，并且之后还可以：

1. 冒充目标用户
2. 从 LSASS 或其他地方窃取目标用户凭证
3. 或使用其他技术来接管账户

因为我们的代码已经在登录用户的上下文中执行，所以我们可以在该上下文中做任何我们想做的事情，并为替代技术创建更少的 IoC。

在此 PoC 中，CLSID ab93b6f1-be76-4185-a488-a9001b105b94- BDEUILauncher 类与 IID 一起使用IBDEUILauncher。此函数允许我们生成四个不同的进程，而该BaaUpdate.exe进程在使用任何输入参数启动时都容易受到 COM 劫持攻击：

CLSIDA7A63E5C-3877-4840-8727-C1EA9D7A4D50正在尝试加载，我们可以从远程劫持它：

由于此 CLSID 与 Bitlocker 相关，因此主要存在于客户端系统上。因此，此 PoC 主要允许在客户端系统上进行横向移动，而不是在服务器上（因为默认情况下 Bitlocker 在服务器上是禁用的）。

枚举模式

要找出远程客户端上哪些用户处于活动状态，您可以使用枚举模式，如下所示：

BitlockMove.exemode=enum target=<targetHost>

攻击模式

要在远程系统上实际执行代码，您需要指定目标用户名、DLL 放置路径以及要执行的命令：

BitlockMove.exemode=attack target=<targetHost>&nbsp;dllpath=C:\windows\temp\pwned.dll targetuser=local\domadm&nbsp;command="cmd.exe /C calc.exe"

OpSec 注意事项/检测

该 PoC 使用了一个硬编码的 DLL，它看起来总是相同的，并且会被投放到目标上。在这个 DLL 上构建检测机制非常容易，因此使用自定义 DLL 被检测到的可能性较小。使用自定义 DLL，你还可以驻留在一个受信任的已签名进程中，而不是生成一个新的进程，而这通常是攻击者喜欢的。

可以通过检查以下方法检测该技术的行为：

• 远程 COM 劫持上述 CLSID，然后
• BaaUpdate.exe从劫持位置加载新释放的 DLL
• BaaUpdate.exe产生可疑的子进程

项目地址：

https://github.com/rtecCyberSec/BitlockMove

感谢您抽出

.

.

来阅读本文

点它，分享点赞在看都在这里

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Ots安全 《通过 Bitlocker DCOM 接口和 COM 劫持进行横向移动》