Техника на mitre.org

T1546.015: Перехват COM-объектов

Злоумышленники могут закрепиться в системе путем запуска вредоносного содержимого, активируемого перехваченными ссылками на COM-объекты. COM — это подсистема Windows, обеспечивающая взаимодействие между программными компонентами через операционную систему. Ссылки на различные COM-объекты хранятся в реестре.

В качестве механизма закрепления в системе злоумышленники могут использовать ее подсистему COM для внедрения вредоносного кода, который может быть выполнен вместо легитимного программного обеспечения путем перехвата ссылок и взаимоотношений внутри COM. Для перехвата легитимного COM-объекта в системе требуется внести изменения в реестр, чтобы заменить ссылку на этот объект, — это может привести к неработоспособности объекта при обращении к нему. При обычном обращении к этому объекту из системы вместо него будет выполнен вредоносный код. Для закрепления в системе на должном уровне злоумышленник, скорее всего, будет перехватывать объекты, которые используются достаточно часто и при этом вряд ли нарушат значимые функциональные возможности системы, иначе это может привести к нестабильной работе системы и обнаружению.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

vulnerabilities: PT-CR-2314: CVE_2024_21378_Outlook_RCE: Эксплуатация уязвимости CVE-2024-21378 в Outlook. Уязвимость позволяет выполнить произвольный код с помощью форм Outlook mitre_attck_persistence: PT-CR-265: COM_Object_Persistence: Обнаружена попытка изменить ссылки и взаимодействия Component Object Model в реестре Microsoft Windows

Способы обнаружения

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для закрепления в системе путем запуска вредоносного содержимого, активируемого перехваченными ссылками на COM-объекты. Примечание. При запуске блоков сценариев PowerShell в журнале Microsoft-Windows-Powershell/Operational генерируется событие с идентификатором 4104, в которое записывается содержимое этих блоков; анализ этих событий позволяет обнаружить изменения ключей COM-объектов в реестре, включая HKCU\Software\Classes\CLSID*.

ID	DS0011	Источник и компонент данных	Модуль: Загрузка модуля	Описание	При осуществлении сбора и анализа событий загрузки DLL программным обеспечением важно сопоставлять нетипичные загрузки DLL с изменениями реестра COM-объектов — совпадения могут указывать на перехват COM.

ID	DS0024	Источник и компонент данных	Реестр Windows: Изменение ключа реестра Windows	Описание	Для обнаружения попыток перехвата COM можно отслеживать замены ссылок на объекты в реестре и операции с реестром (например, с помощью reg), заменяющие пути к известным бинарным файлам на пути к неизвестным файлам или другому вредоносному содержимому. Хотя некоторые сторонние приложения создают пользовательские COM-объекты, наличие таких объектов в HKEY_CURRENT_USER\Software\Classes\CLSID\ может быть аномальным. Эти случаи следует внимательно рассматривать, поскольку объекты текущего пользователя загружаются раньше, чем общесистемные объекты в HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID. Записи в реестре для существующих COM-объектов меняются довольно редко. Если запись с известным легитимным путем к бинарному файлу заменена или изменена так, что теперь она указывает на неизвестный файл в новом местоположении, этот случай следует считать подозрительным и внимательно рассмотреть. Аналитика 1. Перехват COM-объектов `source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode IN (12, 13, 14) TargetObject= "\Software\Classes\CLSID*"`

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте выполнение новых процессов, которые могут использоваться для закрепления в системе путем запуска вредоносного содержимого, активируемого перехваченными ссылками на COM-объекты.

ID	Источник и компонент данных	Описание
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для закрепления в системе путем запуска вредоносного содержимого, активируемого перехваченными ссылками на COM-объекты. Примечание. При запуске блоков сценариев PowerShell в журнале Microsoft-Windows-Powershell/Operational генерируется событие с идентификатором 4104, в которое записывается содержимое этих блоков; анализ этих событий позволяет обнаружить изменения ключей COM-объектов в реестре, включая HKCU\Software\Classes\CLSID*.
DS0011	Модуль: Загрузка модуля	При осуществлении сбора и анализа событий загрузки DLL программным обеспечением важно сопоставлять нетипичные загрузки DLL с изменениями реестра COM-объектов — совпадения могут указывать на перехват COM.
DS0024	Реестр Windows: Изменение ключа реестра Windows	Для обнаружения попыток перехвата COM можно отслеживать замены ссылок на объекты в реестре и операции с реестром (например, с помощью reg), заменяющие пути к известным бинарным файлам на пути к неизвестным файлам или другому вредоносному содержимому. Хотя некоторые сторонние приложения создают пользовательские COM-объекты, наличие таких объектов в HKEY_CURRENT_USER\Software\Classes\CLSID\ может быть аномальным. Эти случаи следует внимательно рассматривать, поскольку объекты текущего пользователя загружаются раньше, чем общесистемные объекты в HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID. Записи в реестре для существующих COM-объектов меняются довольно редко. Если запись с известным легитимным путем к бинарному файлу заменена или изменена так, что теперь она указывает на неизвестный файл в новом местоположении, этот случай следует считать подозрительным и внимательно рассмотреть. Аналитика 1. Перехват COM-объектов `source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode IN (12, 13, 14) TargetObject= "\Software\Classes\CLSID*"`
DS0009	Процесс: Создание процесса	Отслеживайте выполнение новых процессов, которые могут использоваться для закрепления в системе путем запуска вредоносного содержимого, активируемого перехваченными ссылками на COM-объекты.