T1218.012: Verclsid
Злоумышленники могут использовать программу verclsid.exe для выполнения вредоносного кода. Программа Verclsid.exe, или Extension CLSID Verification Host, отвечает за проверку каждого расширения оболочки перед его использованием проводником или командной оболочкой Windows.
Злоумышленники могут воспользоваться verclsid.exe для выполнения полезных нагрузок, например с помощью команды verclsid.exe /S /C {CLSID}, которая указывает на файл с помощью уникального идентификатора класса CLSID, используемого для идентификации COM-объектов. Как и в случае с утилитой Regsvr32, злоумышленники могут использовать verclsid.exe для запуска COM-объектов, которые будут выполнять на устройстве различные вредоносные действия, например загружать сценарии COM (файлы SCT) с удаленных серверов и запускать их. Поскольку бинарный файл verclsid.exe может быть нативным для ОС Windows и иметь подпись, злоумышленники могут воспользоваться им для выполнения вредоносного кода в обход механизмов контроля приложений, которые не отслеживают его возможное неправомерное использование.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
Мониторинг событий запуска процесса verclsid.exe, в командной строке которых содержится фрагмент «verclsid.exe /S /C»
Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»
Способы обнаружения
| ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Рекомендуется также отслеживать аргументы, которые использовались до и после вызова verclsid.exe, чтобы определить происхождение и назначение выполняемой полезной нагрузки. |
|---|
| ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте процессы для мониторинга запуска программы verclsid.exe и ее аргументов. Сопоставляйте недавние вызовы verclsid.exe с историей использования известных допустимых аргументов и загрузки допустимых файлов, чтобы выявить аномальную и потенциально вредоносную активность. Порождение процесса verclsid.exe приложениями Microsoft Office нетипично для некоторых сред. Кроме того, verclsid.exe, как правило, не порождает дочерних процессов, не устанавливает сетевых подключений и не модифицирует файлы. |
|---|
Меры противодействия
| ID | M1037 | Название | Фильтрация сетевого трафика | Описание | По возможности измените правила межсетевого экрана хоста для предотвращения исходящего трафика от verclsid.exe. |
|---|
| ID | M1042 | Название | Отключение или удаление компонента или программы | Описание | По возможности удалите verclsid.exe, если он не нужен в данной среде. |
|---|
| ID | M1038 | Название | Защита от выполнения | Описание | Используйте контроль приложений, настроенный на блокировку выполнения verclsid.exe, если он не требуется для данной системы или сети, чтобы предотвратить потенциальное использование злоумышленниками. |
|---|