MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1021.003: Распределенная COM-модель

Злоумышленники могут использовать существующие учетные записи, чтобы взаимодействовать с удаленными компьютерами с помощью распределенной COM-модели (DCOM). После этого злоумышленники могут выполнять действия от имени вошедшего в систему пользователя.

Объектная модель компонентов Windows (COM) — это компонент нативного программного интерфейса (API) Windows, обеспечивающий взаимодействие между программными объектами и (или) между объектами и исполняемым кодом и реализующий один или несколько интерфейсов. С помощью COM клиентский объект может вызывать методы серверных объектов, обычно представляющих собой DLL-библиотеки или исполняемые EXE-файлы. Распределенная COM-модель (DCOM) — это прозрачное промежуточное ПО, которое расширяет функциональность COM за пределы локального компьютера с помощью технологии удаленного вызова процедур (RPC).

Разрешения на взаимодействие с локальными и удаленными (серверными) COM-объектами задаются с помощью списков контроля доступа (ACL) в реестре. По умолчанию только администраторы могут удаленно активировать и запускать COM-объекты посредством DCOM.

С помощью DCOM злоумышленники, действующие в контексте привилегированного пользователя, могут удаленно получить произвольный и даже прямой доступ к выполнению шелл-кода через приложения Office, а также другие объекты Windows, имеющие небезопасные методы. DCOM также позволяет выполнять макросы в существующих документах, а также использовать динамический обмен данными (DDE) непосредственно через экземпляр приложения Microsoft Office, созданный с помощью COM, без необходимости использования вредоносного документа. DCOM может использоваться для удаленного взаимодействия с инструментарием управления Windows .

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_lateral_movement: PT-CR-1095: LiquidSnake_WMI_EventFilter: Обнаружено удаленное использование утилиты LiquidSnake для вредоносных действий с подписками WMI и выполнения кода
mitre_attck_lateral_movement: PT-CR-2025: DCOM_Excel_Abuse: Использование DCOM-компонента Excel для запуска процессов
mitre_attck_lateral_movement: PT-CR-220: Client_Side_Execution_via_DCOM: Использование DCOM для удаленного выполнения кода
mitre_attck_privilege_escalation: PT-CR-1937: SMB_RPC_Internet_Connection: Сетевое взаимодействие с интернет-источником по SMB или RPC, которое злоумышленник может использовать для первоначального доступа

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Создание сетевого подключенияОписание

Отслеживайте создание сетевых соединений, в которых могут использоваться существующие учетные записи для взаимодействия с удаленными компьютерами с помощью распределенной COM-модели (DCOM). После этого злоумышленники смогут выполнять действия от имени вошедшего в систему пользователя. Отслеживайте любые, особенно аномальные, увеличения объема трафика распределительной вычислительной среды / удаленного вызова процедур (DCE/RPC), связанного с DCOM (обычно через порт 135).

Примечание. С помощью фреймворков сетевого анализа, таких как Zeek, можно настроить запись, декодирование и уведомления о поведении потока RPC. Трафик в RPC Endpoint Mapper всегда направляется к порту 135. При успешном прохождении порта RPC-трафик проследует к конечному устройству. Конечное устройство и клиент привязаны к динамически назначаемым портам (в Windows их значение обычно превышает 49152). Трафик между клиентом и конечным устройством можно обнаружить, отслеживая трафик к порту 135, а затем выделяя трафик, для которого значения портов источника и назначения превышают 49152.

IDDS0011Источник и компонент данныхМодуль: Загрузка модуляОписание

Отслеживайте COM-объекты, загружающие DLL и другие модули, не связанные с приложением.

Примечание. Для мониторинга загрузки подозрительных DLL-библиотек модулем запуска процессов DCOM-сервера, запущенным через svchost.exe, можно отслеживать события Sysmon с идентификатором 7 (загрузка образа). При отслеживании этого события может генерироваться большое количество ложных срабатываний, поэтому рекомендуется отфильтровывать загрузки известных безопасных модулей, выполняемые процессом svchost.exe в рамках штатных операций.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых процессов, связанных с операциями DCOM; особенно подозрительны процессы, запущенные не вошедшим в систему пользователем. Получение списков COM-объектов с помощью таких техник, как Запросы к реестру или PowerShell, также может предшествовать вредоносной активности.

Злоумышленники могут воспользоваться консолью управления Microsoft (MMC) для запуска произвольных процессов посредством DCOM. При использовании этого метода типичное дерево процессов выглядит так: svchost.exe —> mmc.exe —> \<произвольный_процесс>.exe.

Поэтому необходимо отслеживать события создания процессов mmc.exe с аргументом командной строки -Embedding, а также подозрительные дочерние процессы, которые могут использоваться в злонамеренных целях, такие как cmd.exe и reg.exe.

Вместо консоли управления Microsoft для выполнения процессов посредством DCOM также может применяться Excel. В этом случае типичное дерево процессов выглядит так: svchost.exe —> excel.exe —> \<произвольный_процесс>.exe.

Отслеживайте события создания процессов excel.exe с аргументом командной строки /automation -Embedding, а также подозрительные дочерние процессы, которые могут использоваться в злонамеренных целях, такие как cmd.exe и reg.exe.

Меры противодействия

IDM1048НазваниеИзоляция и помещение в песочницу приложенийОписание

Проследите, чтобы все предупреждения COM и функция Protected View были включены.

IDM1042НазваниеОтключение или удаление компонента или программыОписание

По возможности отключите DCOM с помощью Dcomcnfg.exe.

IDM1030НазваниеСегментация сетиОписание

Включите межсетевой экран Windows, который по умолчанию предотвращает инстанцирование DCOM.

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Измените параметры реестра (непосредственно или с помощью Dcomcnfg.exe) в HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{{AppID_GUID}}, связанные с безопасностью процессов отдельных COM-приложений.

Измените параметры реестра (непосредственно или с помощью Dcomcnfg.exe) в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole, связанные с общесистемными настройками безопасности по умолчанию для всех COM-приложений, которые не регулируют безопасность своих процессов.