MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1546.015: Перехват COM-объектов

Злоумышленники могут закрепиться в системе путем запуска вредоносного содержимого, активируемого перехваченными ссылками на COM-объекты. COM — это подсистема Windows, обеспечивающая взаимодействие между программными компонентами через операционную систему. Ссылки на различные COM-объекты хранятся в реестре.

В качестве механизма закрепления в системе злоумышленники могут использовать ее подсистему COM для внедрения вредоносного кода, который может быть выполнен вместо легитимного программного обеспечения путем перехвата ссылок и взаимоотношений внутри COM. Для перехвата легитимного COM-объекта в системе требуется внести изменения в реестр, чтобы заменить ссылку на этот объект, — это может привести к неработоспособности объекта при обращении к нему. При обычном обращении к этому объекту из системы вместо него будет выполнен вредоносный код. Для закрепления в системе на должном уровне злоумышленник, скорее всего, будет перехватывать объекты, которые используются достаточно часто и при этом вряд ли нарушат значимые функциональные возможности системы, иначе это может привести к нестабильной работе системы и обнаружению.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

vulnerabilities: PT-CR-2314: CVE_2024_21378_Outlook_RCE: Эксплуатация уязвимости CVE-2024-21378 в Outlook. Уязвимость позволяет выполнить произвольный код с помощью форм Outlook
mitre_attck_persistence: PT-CR-265: COM_object_persistence: Обнаружена попытка изменить ссылки и взаимодействия Component Object Model в реестре Microsoft Windows

Способы обнаружения

IDDS0024Источник и компонент данныхРеестр Windows: Изменение ключа реестра WindowsОписание

There are opportunities to detect COM hijacking by searching for Registry references that have been replaced and through Registry operations (ex: Reg) replacing known binary paths with unknown paths or otherwise malicious content. Even though some third-party applications define user COM objects, the presence of objects within HKEY_CURRENT_USER\Software\Classes\CLSID\ may be anomalous and should be investigated since user objects will be loaded prior to machine objects in HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID. Registry entries for existing COM objects may change infrequently. When an entry with a known good path and binary is replaced or changed to an unusual value to point to an unknown binary in a new location, then it may indicate suspicious behavior and should be investigated.

Analytic 1 - Component Object Model Hijacking

source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode IN (12, 13, 14) TargetObject= "\Software\Classes\CLSID*"

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Monitor newly executed processes that may establish persistence by executing malicious content triggered by hijacked references to Component Object Model (COM) objects.

IDDS0011Источник и компонент данныхМодуль: Загрузка модуляОписание

Likewise, if software DLL loads are collected and analyzed, any unusual DLL load that can be correlated with a COM object Registry modification may indicate COM hijacking has been performed.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Monitor executed commands and arguments that may establish persistence by executing malicious content triggered by hijacked references to Component Object Model (COM) objects.

Note: Event ID 4104 (from the Microsoft-Windows-Powershell/Operational log) captures Powershell script blocks, which can be analyzed and used to detect on changes to COM registry keys, including HKCU\Software\Classes\CLSID*.