T1546.015: Перехват COM-объектов

Злоумышленники могут закрепиться в системе путем запуска вредоносного содержимого, активируемого перехваченными ссылками на COM-объекты. COM — это подсистема Windows, обеспечивающая взаимодействие между программными компонентами через операционную систему. Ссылки на различные COM-объекты хранятся в реестре.

В качестве механизма закрепления в системе злоумышленники могут использовать ее подсистему COM для внедрения вредоносного кода, который может быть выполнен вместо легитимного программного обеспечения путем перехвата ссылок и взаимоотношений внутри COM. Для перехвата легитимного COM-объекта в системе требуется внести изменения в реестр, чтобы заменить ссылку на этот объект, — это может привести к неработоспособности объекта при обращении к нему. При обычном обращении к этому объекту из системы вместо него будет выполнен вредоносный код. Для закрепления в системе на должном уровне злоумышленник, скорее всего, будет перехватывать объекты, которые используются достаточно часто и при этом вряд ли нарушат значимые функциональные возможности системы, иначе это может привести к нестабильной работе системы и обнаружению.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

vulnerabilities: PT-CR-2314: CVE_2024_21378_Outlook_RCE: Эксплуатация уязвимости CVE-2024-21378 в Outlook. Уязвимость позволяет выполнить произвольный код с помощью форм Outlook mitre_attck_persistence: PT-CR-265: COM_Object_Persistence: Обнаружена попытка изменить ссылки и взаимодействия Component Object Model в реестре Microsoft Windows

Способы обнаружения

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для закрепления в системе путем запуска вредоносного содержимого, активируемого перехваченными ссылками на COM-объекты.

Примечание. При запуске блоков сценариев PowerShell в журнале Microsoft-Windows-Powershell/Operational генерируется событие с идентификатором 4104, в которое записывается содержимое этих блоков; анализ этих событий позволяет обнаружить изменения ключей COM-объектов в реестре, включая HKCU\Software\Classes\CLSID*.

IDDS0011Источник и компонент данныхМодуль: Загрузка модуляОписание

При осуществлении сбора и анализа событий загрузки DLL программным обеспечением важно сопоставлять нетипичные загрузки DLL с изменениями реестра COM-объектов — совпадения могут указывать на перехват COM.

IDDS0024Источник и компонент данныхРеестр Windows: Изменение ключа реестра WindowsОписание

Для обнаружения попыток перехвата COM можно отслеживать замены ссылок на объекты в реестре и операции с реестром (например, с помощью reg), заменяющие пути к известным бинарным файлам на пути к неизвестным файлам или другому вредоносному содержимому. Хотя некоторые сторонние приложения создают пользовательские COM-объекты, наличие таких объектов в HKEY_CURRENT_USER\Software\Classes\CLSID\ может быть аномальным. Эти случаи следует внимательно рассматривать, поскольку объекты текущего пользователя загружаются раньше, чем общесистемные объекты в HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID. Записи в реестре для существующих COM-объектов меняются довольно редко. Если запись с известным легитимным путем к бинарному файлу заменена или изменена так, что теперь она указывает на неизвестный файл в новом местоположении, этот случай следует считать подозрительным и внимательно рассмотреть.

Аналитика 1. Перехват COM-объектов

source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode IN (12, 13, 14) TargetObject= "\Software\Classes\CLSID*"

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте выполнение новых процессов, которые могут использоваться для закрепления в системе путем запуска вредоносного содержимого, активируемого перехваченными ссылками на COM-объекты.