2025年网络攻击中的NTLM滥用 | Securelist

就像2000年代

翻盖手机开始流行，Windows XP在个人电脑上首次亮相，苹果推出了iPod，通过BT的P2P文件共享正在兴起，MSN Messenger主导了在线聊天。这是2001年的科技场景，同一年，Cult of the Dead Cow的Sir Dystic发布了SMBRelay，一个将NTLM中继攻击从理论带入实践的概念验证，展示了一类强大的新型身份验证中继攻击。

自遥远的2001年以来，NTLM认证协议的弱点已暴露无遗。随后的几年里，新的漏洞和日益复杂的攻击方法继续塑造着安全格局。微软接受了挑战，引入了缓解措施，并逐步开发了NTLM的继任者——Kerberos。然而，二十多年后，NTLM仍然嵌入在现代操作系统中，滞留在企业网络、遗留应用程序和仍然依赖其过时机制进行身份验证的内部基础设施中。

尽管微软已宣布计划淘汰NTLM，但该协议仍然存在，为攻击者继续利用长期存在和新发现的漏洞敞开了一扇门。

在这篇博客文章中，我们将更仔细地审视过去一年中发现的越来越多的NTLM相关漏洞，以及在全球不同地区积极将其武器化的网络犯罪活动。

NTLM认证工作原理

NTLM（新技术LAN管理器）是微软提供的一套安全协议，旨在为用户提供身份验证、完整性和保密性。

在身份验证方面，NTLM是一种基于质询-响应的协议，用于在Windows环境中验证客户端和服务器。此类协议依赖于共享密钥（通常是客户端密码）来验证身份。NTLM已集成到多个需要用户身份验证的应用协议中，包括HTTP、MSSQL、SMB和SMTP。它采用客户端和服务器之间的三方握手来完成认证过程。在某些情况下，会添加第四条消息以确保数据完整性。

完整的认证过程如下所示：

1. 客户端发送NEGOTIATE_MESSAGE以通告其能力。
2. 服务器响应CHALLENGE_MESSAGE以验证客户端身份。
3. 客户端使用其密钥加密质询，并响应一个包含加密质询、用户名、主机名和域名的AUTHENTICATE_MESSAGE。
4. 服务器使用客户端密码哈希验证加密的质询并确认其身份。随后客户端通过认证，并与服务器建立有效会话。根据应用层协议，服务器可能会发送认证确认（或失败）消息。

重要的是，在此过程中，客户端的密钥永远不会通过网络传输。

NTLM已死——NTLM万岁

尽管NTLM是一个具有充分记录的弱点的遗留协议，但它仍继续在Windows系统中使用，因此在现代威胁活动中被积极利用。微软已宣布计划完全淘汰NTLM认证，其弃用将从Windows 11 24H2和Windows Server 2025开始，其中NTLMv1被完全移除，NTLMv2在某些场景下默认禁用。尽管自2022年以来至少发布了三次主要公告，并增加了文档和迁移指南，但该协议仍然存在，通常是由于兼容性要求、遗留应用程序或混合基础设施中的错误配置。

正如最近的披露所显示，攻击者继续寻找创造性的方法来利用NTLM进行中继和欺骗攻击，包括新的漏洞。此外，他们还引入了协议固有的替代攻击向量，特别是在NTLM认证尝试后通过WebDAV进行自动下载和恶意软件执行的背景下，本文将对此进行进一步探讨。

基于NTLM的身份验证中的持续威胁

NTLM呈现出一个广泛的威胁格局，其固有的设计限制导致了多种攻击向量。其中包括凭据转发、强制攻击、哈希拦截和各种中间人技术，所有这些都利用了协议缺乏现代安全措施（如通道绑定和相互认证）的弱点。在研究当前的利用活动之前，有必要回顾一下涉及的主要攻击技术。

哈希泄漏

哈希泄漏是指NTLM身份验证哈希的意外暴露，通常由精心制作的文件、恶意网络路径或网络钓鱼技术引起。这是一种被动技术，不需要攻击者在目标系统上进行任何操作。涉及此攻击向量的常见场景始于网络钓鱼尝试，其中包含（或链接到）旨在利用Windows原生行为的文件。这些行为会自动向攻击者控制的资源发起NTLM身份验证。泄漏通常通过最小的用户交互发生，例如预览文件、点击远程链接或访问共享网络资源。一旦攻击者获得哈希值，他们就可以在凭据转发攻击中重用它们。

强制攻击

在强制攻击中，攻击者主动迫使目标系统向攻击者控制的服务进行身份验证。这种类型的攻击不需要用户交互。例如，像PetitPotam或PrinterBug这样的工具通常用于通过MS-EFSRPC或MS-RPRN等协议触发身份验证尝试。一旦受害者系统开始NTLM握手，攻击者就可以拦截身份验证哈希或将其中继到另一个目标，从而有效地在另一个系统上冒充受害者。后一种情况尤其具有影响力，允许立即访问文件共享、远程管理界面，甚至Active Directory证书服务，攻击者可以在其中请求有效的身份验证证书。

凭据转发

凭据转发是指未经授权重用先前捕获的NTLM身份验证令牌（通常是哈希）以在其他系统或服务上冒充用户。在NTLM身份验证仍然启用的环境中，攻击者可以利用先前获得的凭据（通过哈希泄漏或强制攻击），而无需破解密码。这通常通过Pass-the-Hash（PtH）或令牌模拟技术执行。在NTLM仍在使用，尤其是与配置错误的单点登录（SSO）或域间信任关系结合使用的网络中，凭据转发可能会跨多个系统提供广泛的访问权限。

此技术通常用于促进横向移动和权限提升，特别是在暴露高权限凭据时。像Mimikatz这样的工具允许直接在内存中提取和注入NTLM哈希，而Impacket的wmiexec.py、PsExec.py和secretsdump.py可用于使用转发的哈希执行远程执行或凭据提取。

中间人攻击

位于客户端和服务器之间的攻击者可以拦截、中继或操纵身份验证流量，以捕获NTLM哈希或在会话协商期间注入恶意负载。在缺少数字签名或通道绑定令牌等安全措施的环境中，这些攻击不仅是可能的，而且经常易于执行。

在中间人攻击中，NTLM中继仍然是最持久和影响最大的方法，以至于它在二十多年后仍然具有现实意义。最初由Sir Dystic（Cult of the Dead Cow成员）通过SMBRelay工具于2001年演示，NTLM中继继续在现实场景中被积极用于破坏Active Directory环境。常用工具包括Responder、Impacket的NTLMRelayX和Inveigh。当NTLM中继发生在获取哈希的同一台机器内时，也称为NTLM反射攻击。

2025年的NTLM利用

在过去的一年中，在Windows环境中发现了多个漏洞，这些环境中NTLM默认启用。本节重点介绍全年报告的最相关的CVE，以及在真实活动中观察到的主要攻击向量。

CVE-2024‑43451

CVE-2024‑43451是Microsoft Windows中的一个漏洞，能够在最少或无需用户交互的情况下泄漏NTLMv2密码哈希，可能导致凭据泄露。

该漏洞的存在归因于MSHTML引擎的持续存在，这是一个最初为Internet Explorer开发的遗留组件。尽管Internet Explorer已被正式弃用，但MSHTML仍然嵌入在现代Windows系统中以实现向后兼容性，特别是对于那些仍然依赖其渲染或链接处理能力的应用程序和接口。这种依赖性使得.url文件能够通过精心制作的链接静默调用NTLM认证过程，而无需实际打开文件。虽然直接打开恶意的.url文件可靠地触发了漏洞利用，但漏洞也可能通过其他用户操作激活，例如右键单击、删除、单击或将文件移动到其他文件夹。

攻击者可以通过向受其控制的远程服务器（以UNC路径格式指定URL）发起SMB上的NTLM身份验证来利用此缺陷，从而捕获用户的哈希值。通过获得NTLMv2哈希，攻击者可以执行传递哈希攻击（例如，使用WMIExec或PSExec等工具），通过冒充有效用户获得网络访问权限，而无需知道用户的实际凭据。

当攻击者使用WebDAV服务器时，会出现此漏洞的一个特例。WebDAV是一组HTTP协议的扩展，支持对Web服务器上托管的文件进行协作。在这种情况下，与恶意文件的最小交互（例如单击或右键单击）会触发自动连接到服务器、文件下载和执行。攻击者利用此缺陷向目标系统传递恶意软件或其他有效负载。他们也可能将其与哈希泄漏相结合，例如，在受害者系统上安装恶意工具，并使用捕获的哈希值通过该工具进行横向移动。

微软在2024年11月的安全更新中解决了该漏洞。在已修补的环境中，移动、删除、右键单击精心制作的.url文件等操作不会触发与恶意服务器的连接。但是，当用户打开漏洞利用程序时，它仍然有效。

披露后，利用该漏洞的攻击数量呈指数级增长。截至今年7月，我们检测到大约600个可疑的.url文件，这些文件包含利用该漏洞所需的特征，可能构成潜在威胁。

BlindEagle活动通过CVE-2024-43451分发Remcos RAT

BlindEagle是一个针对拉丁美洲实体的APT威胁行为者，以其结合间谍和金融攻击的多功能活动而闻名。2024年11月下旬，该组织开始针对哥伦比亚实体的新攻击，利用Windows漏洞CVE-2024-43451分发Remcos RAT。BlindEagle创建.url文件作为一种新颖的初始投放器。这些文件通过冒充哥伦比亚政府和司法实体的网络钓鱼电子邮件发送，并以涉嫌法律问题为诱饵。一旦收件人确信下载了恶意文件，只需与之交互就会触发向攻击者控制的WebDAV服务器的请求，从中下载并执行Remcos RAT的修改版本。该版本包含一个专门窃取加密货币钱包凭据的模块。

攻击者通过在UNC路径中指定端口80来自动执行恶意软件。这允许直接使用WebDAV协议通过HTTP进行连接，从而绕过SMB连接。这种类型的连接也会泄漏NTLM哈希。但是，我们没有看到这些哈希的任何后续使用。

在此次活动之后以及整个2025年，该组织持续发起多次攻击，使用相同的初始攻击向量（.url文件），并继续分发Remcos RAT。

我们检测到60多个.url文件在BlindEagle活动中被用作初始投放器。这些文件在冒充哥伦比亚司法当局的电子邮件中发送。它们都通过WebDAV与受该组织控制的服务器通信，并启动了使用ShadowLadder或Smoke Loader最终在内存中加载Remcos RAT的攻击链。

Head Mare针对俄罗斯目标滥用CVE-2024-43451的活动

在微软披露后检测到的另一起攻击涉及黑客活动组织Head Mare。该组织以针对俄罗斯和白俄罗斯目标进行攻击而闻名。

在过去的活动中，Head Mare曾利用各种漏洞作为其获取受害者基础设施初始访问权限的技术的一部分。这次，他们使用了CVE-2024-43451。该组织通过网络钓鱼电子邮件分发名为“Договор на предоставление услуг №2024-34291”（“服务协议No.2024-34291”）的ZIP文件。其中包含一个名为“Сопроводительное письмо.docx”（翻译为“附函.docx”）的.url文件。

.url文件连接到受该组织控制的远程SMB服务器，域名为：

1

document-file[.]ru/files/documents/zakupki/MicrosoftWord.exe

该域名解析到IP地址45.87.246.40，属于ASN 212165，我们的团队在先前的报告中提到该组织曾使用过此IP。

根据我们的遥测数据，ZIP文件分发给了121名用户，其中50%属于制造业，35%属于教育和科学领域，5%属于政府实体，以及其他行业。在所有目标中，有22名用户与.url文件进行了交互。

为了实现其针对目标公司的目标，Head Mare使用了许多公开可用的工具，包括开源软件，以进行横向移动和权限提升，转发泄漏的哈希值。在先前攻击中检测到的这些工具包括Mimikatz、Secretsdump、WMIExec和SMBExec，后三个属于Impacket套件工具。

在此次活动中，我们检测到尝试利用WinRAR中的漏洞CVE-2023-38831，该漏洞在我们先前报告的活动中被用作初始访问手段，并且在另外两次活动中，我们发现了尝试使用与Impacket和SMBMap相关的工具。

此次攻击除了收集NTLM哈希外，还涉及分发PhantomCore恶意软件，该软件是该组织武器库的一部分。

CVE-2025-24054 / CVE-2025-24071

CVE-2025-24071和CVE-2025-24054最初注册为两个不同的漏洞，但后来合并到第二个CVE下，是一个影响多个Windows版本（包括Windows 11和Windows Server）的NTLM哈希泄漏漏洞。该漏洞主要通过特殊制作的文件（如.library-ms文件）进行利用，这些文件导致系统向攻击者控制的服务器发起NTLM身份验证请求。

这种利用方式与CVE-2024-43451类似，需要很少或无需用户交互（例如预览文件），使攻击者能够捕获NTLMv2哈希，并在网络中获取未经授权的访问或提升权限。此漏洞最常见和最广泛的利用方式发生在ZIP/RAR存档内的.library-ms文件中，因为很容易诱使用户打开或预览它们。在我们观察到的大多数事件中，攻击者使用ZIP存档作为分发媒介。

通过CVE-2025-24054在俄罗斯分发木马

在俄罗斯，我们识别出一个分发恶意ZIP存档的活动，主题为“акт_выполненных_работ_апрель”（四月已完成工作证书）。存档内的文件伪装成.xls电子表格，但实际上是.library-ms文件，会自动启动与攻击者控制的服务器的连接。恶意文件包含相同的嵌入式服务器IP地址185.227.82.72。

当漏洞被利用时，文件会自动连接到该服务器，该服务器还托管用于分发的AveMaria木马（也称为Warzone）版本。AveMaria是一种远程访问木马，使攻击者能够远程控制执行命令、窃取文件、执行键盘记录并保持持久性。

CVE-2025-33073

CVE-2025-33073是Windows SMB客户端访问控制中的一个高严重性NTLM反射漏洞。网络内经过身份验证的攻击者可以操纵SMB身份验证（特别是通过本地中继），诱使受害者的系统向自身作为SYSTEM进行身份验证。这使攻击者能够提升权限并以最高级别执行代码。

该漏洞依赖于Windows确定连接是本地还是远程的方式中的一个缺陷。通过构造一个与机器自身名称部分重叠的特定DNS主机名，攻击者可以欺骗系统相信身份验证请求来自同一主机。当这种情况发生时，Windows切换到“本地身份验证”模式，该模式绕过了正常的NTLM质询-响应交换，并将用户的令牌直接注入到主机的安全子系统中。如果攻击者诱使受害者连接到构造的主机名，那么提供的令牌本质上是机器自身的令牌，从而授予攻击者在主机本身上的特权访问权限。

这种行为之所以出现，是因为NTLM协议在假定客户端和服务器是同一实体时设置了一个特殊标志和上下文ID。攻击者的操纵导致操作系统将外部请求视为内部请求，因此注入的令牌被视为可信。这种自我反射为对手在目标机器上以SYSTEM级别权限行动打开了大门。

涉及CVE-2025-33073的乌兹别克斯坦可疑活动

我们检测到在乌兹别克斯坦金融部门的一个目标上利用该漏洞的可疑活动。

我们获得了与此活动相关的流量转储，并在此转储中识别出多个与SMB上的NTLM身份验证相关的字符串片段。转储包含显示SMB方言、NTLMSSP消息、主机名和域的身份验证协商。特别是以下指标：

• 主机名localhost1UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA，一个用于欺骗Windows将身份验证视为本地的主机名。
• 存在IPC$资源共享，这在NTLM中继/反射攻击中很常见，因为它允许攻击者启动身份验证，然后利用该经过身份验证的会话执行操作。

事件始于利用NTLM反射漏洞。攻击者使用构造的DNS记录诱使主机向自身进行身份验证，并获取SYSTEM令牌。之后，攻击者检查他们是否有足够的权限使用批处理文件执行代码，这些批处理文件运行简单的命令，如whoami：

1

%COMSPEC% /Q /c echo whoami ^> %SYSTEMROOT%\Temp\__output > %TEMP%\execute.bat & %COMSPEC% /Q /c %TEMP%\execute.bat & del %TEMP%\execute.bat

然后通过在注册表中的可疑服务条目下建立持久性：

1

reg:\\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\YlHXQbXO

以SYSTEM权限，攻击者尝试了几种方法来转储LSASS（本地安全机构子系统服务）内存：

• 使用rundll32.exe：

  1	C:\Windows\system32\cmd.exe /Q /c CMD.exe /Q /c for /f "tokens=1,2 delims= " ^%A in ('"tasklist /fi "Imagename eq lsass.exe" | find "lsass""') do rundll32.exe C:\windows\System32\comsvcs.dll, #+0000^24 ^%B \Windows\Temp\vdpk2Y.sav full

  该命令定位保存内存中凭据的lsass.exe进程，提取其PID，并调用comsvcs.dll的内部函数来转储LSASS内存并保存。此技术通常用于后期利用（例如，Mimikatz或其他“无文件”工具）。

• 加载临时DLL（BDjnNmiX.dll）：

  1	C:\Windows\system32\cmd.exe /Q /c cMd.exE /Q /c for /f "tokens=1,2 delims= " ^%A in ('"tAsKLISt /fi "Imagename eq lSAss.ex*" | find "lsass""') do rundll32.exe C:\Windows\Temp\BDjnNmiX.dll #+0000^24 ^%B \Windows\Temp\sFp3bL291.tar.log full

  该命令尝试再次转储LSASS内存，但这次使用自定义DLL。

• 运行PowerShell脚本（Base64编码）： 该脚本通过反射利用MiniDumpWriteDump。它使用Out-Minidump函数将带有所有进程内存的进程转储写入磁盘，类似于运行procdump.exe。

几分钟后，攻击者尝试通过写入另一台主机的管理共享来进行横向移动，但尝试失败。我们没有看到任何进一步活动的证据。

防护与建议

禁用/限制NTLM

只要NTLM保持启用状态，攻击者就可以利用遗留身份验证方法中的漏洞。禁用NTLM，或者至少将其使用限制在特定的关键系统，可以显著减少攻击面。这一变更应与严格的审计相结合，以识别任何仍然依赖NTLM的系统或应用程序，帮助确保安全无缝的过渡。

实施消息签名

NTLM作为SMB、LDAP和HTTP等应用协议之上的身份验证层工作。这些协议中的许多都提供了为其通信添加签名的能力。缓解NTLM中继攻击最有效的方法之一是启用SMB和LDAP签名。这些安全功能确保客户端和服务器之间的所有消息都经过数字签名，防止攻击者篡改或中继身份验证流量。没有签名，NTLM凭据可能被攻击者拦截并重用以获得对网络资源的未授权访问。

启用身份验证的扩展保护

EPA将NTLM身份验证与底层的TLS或SSL会话绑定，确保捕获的凭据不能在未经授权的上下文中重用。这种额外的验证可以应用于Web服务器和LDAP等服务，极大地增加了执行NTLM中继攻击的复杂性。

监控和审计NTLM流量及身份验证日志

定期审查NTLM身份验证日志可以帮助识别异常模式，例如异常源IP地址或过多的身份验证失败，这可能表明潜在的攻击。使用SIEM工具和网络监控来跟踪可疑的NTLM流量，可以增强早期威胁检测并实现更快的响应。

结论

在2025年，NTLM仍然深深植根于Windows环境中，继续为网络犯罪分子提供利用其长期已知弱点的机会。尽管微软已宣布计划逐步淘汰它，但该协议在遗留系统和企业网络中的普遍存在使其仍然具有现实意义和脆弱性。威胁行为者正在积极利用新披露的漏洞来完善凭据中继攻击、提升权限并在网络内横向移动，这突显出NTLM仍然是重大的安全责任。

2025年全年观察到的NTLM重点事件激增，说明了依赖过时身份验证机制日益增长的风险。为了缓解这些威胁，组织必须加快弃用工作，强制执行定期修补，并采用更强大的身份保护框架。否则，NTLM将继续成为攻击者方便且反复出现的入口点。