T1021.003: Распределенная COM-модель
Злоумышленники могут использовать существующие учетные записи, чтобы взаимодействовать с удаленными компьютерами с помощью распределенной COM-модели (DCOM). После этого злоумышленники могут выполнять действия от имени вошедшего в систему пользователя.
Объектная модель компонентов Windows (COM) — это компонент нативного программного интерфейса (API) Windows, обеспечивающий взаимодействие между программными объектами и (или) между объектами и исполняемым кодом и реализующий один или несколько интерфейсов. С помощью COM клиентский объект может вызывать методы серверных объектов, обычно представляющих собой DLL-библиотеки или исполняемые EXE-файлы. Распределенная COM-модель (DCOM) — это прозрачное промежуточное ПО, которое расширяет функциональность COM за пределы локального компьютера с помощью технологии удаленного вызова процедур (RPC).
Разрешения на взаимодействие с локальными и удаленными (серверными) COM-объектами задаются с помощью списков контроля доступа (ACL) в реестре. По умолчанию только администраторы могут удаленно активировать и запускать COM-объекты посредством DCOM.
С помощью DCOM злоумышленники, действующие в контексте привилегированного пользователя, могут удаленно получить произвольный и даже прямой доступ к выполнению шелл-кода через приложения Office, а также другие объекты Windows, имеющие небезопасные методы. DCOM также позволяет выполнять макросы в существующих документах, а также использовать динамический обмен данными (DDE) непосредственно через экземпляр приложения Microsoft Office, созданный с помощью COM, без необходимости использования вредоносного документа. DCOM может использоваться для удаленного взаимодействия с инструментарием управления Windows .
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_lateral_movement: PT-CR-1095: LiquidSnake_WMI_EventFilter: Обнаружено удаленное использование утилиты LiquidSnake для вредоносных действий с подписками WMI и выполнения кода
mitre_attck_lateral_movement: PT-CR-2025: DCOM_Excel_Abuse: Использование DCOM-компонента Excel для запуска процессов
mitre_attck_lateral_movement: PT-CR-220: Client_Side_Execution_via_DCOM: Использование DCOM для удаленного выполнения кода
mitre_attck_privilege_escalation: PT-CR-1937: SMB_RPC_Internet_Connection: Сетевое взаимодействие с интернет-источником по SMB или RPC, которое злоумышленник может использовать для первоначального доступа
Способы обнаружения
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Создание сетевого подключения | Описание | Отслеживайте создание сетевых соединений, в которых могут использоваться существующие учетные записи для взаимодействия с удаленными компьютерами с помощью распределенной COM-модели (DCOM). После этого злоумышленники смогут выполнять действия от имени вошедшего в систему пользователя. Отслеживайте любые, особенно аномальные, увеличения объема трафика распределительной вычислительной среды / удаленного вызова процедур (DCE/RPC), связанного с DCOM (обычно через порт 135). Примечание. С помощью фреймворков сетевого анализа, таких как Zeek, можно настроить запись, декодирование и уведомления о поведении потока RPC. Трафик в RPC Endpoint Mapper всегда направляется к порту 135. При успешном прохождении порта RPC-трафик проследует к конечному устройству. Конечное устройство и клиент привязаны к динамически назначаемым портам (в Windows их значение обычно превышает 49152). Трафик между клиентом и конечным устройством можно обнаружить, отслеживая трафик к порту 135, а затем выделяя трафик, для которого значения портов источника и назначения превышают 49152. |
---|
ID | DS0011 | Источник и компонент данных | Модуль: Загрузка модуля | Описание | Отслеживайте COM-объекты, загружающие DLL и другие модули, не связанные с приложением. Примечание. Для мониторинга загрузки подозрительных DLL-библиотек модулем запуска процессов DCOM-сервера, запущенным через svchost.exe, можно отслеживать события Sysmon с идентификатором 7 (загрузка образа). При отслеживании этого события может генерироваться большое количество ложных срабатываний, поэтому рекомендуется отфильтровывать загрузки известных безопасных модулей, выполняемые процессом svchost.exe в рамках штатных операций. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, связанных с операциями DCOM; особенно подозрительны процессы, запущенные не вошедшим в систему пользователем. Получение списков COM-объектов с помощью таких техник, как Запросы к реестру или PowerShell, также может предшествовать вредоносной активности. Злоумышленники могут воспользоваться консолью управления Microsoft (MMC) для запуска произвольных процессов посредством DCOM. При использовании этого метода типичное дерево процессов выглядит так: svchost.exe —> mmc.exe —> \<произвольный_процесс>.exe. Поэтому необходимо отслеживать события создания процессов mmc.exe с аргументом командной строки -Embedding, а также подозрительные дочерние процессы, которые могут использоваться в злонамеренных целях, такие как cmd.exe и reg.exe. Вместо консоли управления Microsoft для выполнения процессов посредством DCOM также может применяться Excel. В этом случае типичное дерево процессов выглядит так: svchost.exe —> excel.exe —> \<произвольный_процесс>.exe. Отслеживайте события создания процессов excel.exe с аргументом командной строки /automation -Embedding, а также подозрительные дочерние процессы, которые могут использоваться в злонамеренных целях, такие как cmd.exe и reg.exe. |
---|
Меры противодействия
ID | M1048 | Название | Изоляция и помещение в песочницу приложений | Описание | Проследите, чтобы все предупреждения COM и функция Protected View были включены. |
---|
ID | M1042 | Название | Отключение или удаление компонента или программы | Описание | По возможности отключите DCOM с помощью Dcomcnfg.exe. |
---|
ID | M1030 | Название | Сегментация сети | Описание | Включите межсетевой экран Windows, который по умолчанию предотвращает инстанцирование DCOM. |
---|
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Измените параметры реестра (непосредственно или с помощью Dcomcnfg.exe) в Измените параметры реестра (непосредственно или с помощью Dcomcnfg.exe) в |
---|