MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1021.003: Распределенная COM-модель

Злоумышленники могут использовать существующие учетные записи, чтобы взаимодействовать с удаленными компьютерами с помощью распределенной COM-модели (DCOM). После этого злоумышленники могут выполнять действия от имени вошедшего в систему пользователя.

Объектная модель компонентов Windows (COM) — это компонент нативного программного интерфейса (API) Windows, обеспечивающий взаимодействие между программными объектами и (или) между объектами и исполняемым кодом и реализующий один или несколько интерфейсов. С помощью COM клиентский объект может вызывать методы серверных объектов, обычно представляющих собой DLL-библиотеки или исполняемые EXE-файлы. Распределенная COM-модель (DCOM) — это прозрачное промежуточное ПО, которое расширяет функциональность COM за пределы локального компьютера с помощью технологии удаленного вызова процедур (RPC).

Разрешения на взаимодействие с локальными и удаленными (серверными) COM-объектами задаются с помощью списков контроля доступа (ACL) в реестре. По умолчанию только администраторы могут удаленно активировать и запускать COM-объекты посредством DCOM.

С помощью DCOM злоумышленники, действующие в контексте привилегированного пользователя, могут удаленно получить произвольный и даже прямой доступ к выполнению шелл-кода через приложения Office, а также другие объекты Windows, имеющие небезопасные методы. DCOM также позволяет выполнять макросы в существующих документах, а также использовать динамический обмен данными (DDE) непосредственно через экземпляр приложения Microsoft Office, созданный с помощью COM, без необходимости использования вредоносного документа. DCOM может использоваться для удаленного взаимодействия с инструментарием управления Windows .

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_lateral_movement: PT-CR-1095: LiquidSnake_WMI_EventFilter: Обнаружено удаленное использование утилиты LiquidSnake для вредоносных действий с подписками WMI и выполнения кода
mitre_attck_lateral_movement: PT-CR-2025: DCOM_Excel_Abuse: Использование DCOM-компонента Excel для запуска процессов
mitre_attck_lateral_movement: PT-CR-220: Client_Side_Execution_via_DCOM: Использование DCOM для удаленного выполнения кода
mitre_attck_privilege_escalation: PT-CR-1937: SMB_RPC_Internet_Connection: Сетевое взаимодействие с интернет-источником по SMB или RPC, которое злоумышленник может использовать для первоначального доступа

Способы обнаружения

IDDS0011Источник и компонент данныхМодуль: Загрузка модуляОписание

Monitor for COM objects loading DLLs and other modules not typically associated with the application.

Note: Sysmon Event ID 7 (Image loaded) can be used to monitor for suspicious DLLs loaded by the DCOM Server Process Launcher which runs inside of svchost.exe. This is a particularly noisy event and can generate a large volume of data, so we recommend baselining and filtering out any known benign svchost.exe module loads that occur as part of its typical operation.

IDDS0029Источник и компонент данныхСетевой трафик: Создание сетевого подключенияОписание

Monitor for newly constructed network connections that may use Valid Accounts to interact with remote machines using Distributed Component Object Model (DCOM). The adversary may then perform actions as the logged-on user. Monitor for any influxes or abnormal increases in DCOM related Distributed Computing Environment/Remote Procedure Call (DCE/RPC) traffic (typically over port 135).

Note: Network Analysis frameworks such as Zeek can be used to capture, decode, and alert on RPC network flows. Traffic to the RPC Endpoint Mapper will always have the destination port of 135. Assuming success, RPC traffic will continue to the endpoint. The endpoint and the client both bind to dynamically assigned ports (on Windows, this is typically greater than 49152). The traffic between the client and endpoint can be detected by looking at traffic to 135 followed by traffic where the source and destination ports are at least 49152.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Monitor for newly executed processes associated with DCOM activity, especially those invoked by a user different than the one currently logged on. Enumeration of COM objects, via Query Registry or PowerShell, may also precede malicious use.

The Microsoft Management Console (mmc.exe) can be by used by threat actors used to spawn arbitrary processes through DCOM. The typical process tree for this method looks like: svchost.exe —> mmc.exe —> .exe.

Accordingly, look for process creation events of mmc.exe in conjunction with the -Embedding command-line argument, along with suspicious child processes that can be used for malicious purposes, such as cmd.exe, reg.exe, etc.

Similar to the Microsoft Management Console, Excel can also be used to execute processes through DCOM. In this case, the typical process tree looks like: svchost.exe —> excel.exe —> .exe.

Look for process creation events of excel.exe in conjunction with the /automation -Embedding command-line argument, along with suspicious child processes that can be used for malicious purposes, such as cmd.exe, reg.exe, etc.

Меры противодействия

IDM1042НазваниеОтключение или удаление компонента или программыОписание

Consider disabling DCOM through Dcomcnfg.exe.

IDM1048НазваниеИзоляция и помещение в песочницу приложенийОписание

Ensure all COM alerts and Protected View are enabled.

IDM1030НазваниеСегментация сетиОписание

Enable Windows firewall, which prevents DCOM instantiation by default.

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Modify Registry settings (directly or using Dcomcnfg.exe) in HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{{AppID_GUID}} associated with the process-wide security of individual COM applications.

Modify Registry settings (directly or using Dcomcnfg.exe) in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole associated with system-wide security defaults for all COM applications that do not set their own process-wide security.