T1559.001: COM-модель
Злоумышленники могут использовать COM-модель Windows для выполнения кода в локальной среде. COM — это компонент механизма межпроцессных взаимодействий нативного программного интерфейса (API) Windows, обеспечивающий взаимодействие между программными объектами и (или) между объектами и исполняемым кодом и реализующий один или несколько интерфейсов. С помощью COM объект-клиент может вызывать методы объектов-серверов, обычно представляющих собой бинарные файлы DLL-библиотек или исполняемые файлы EXE. Выполнение COM-объектов можно реализовать удаленно через службы удаленного доступа, такие как распределенная COM-модель (DCOM).
Доступно несколько COM-интерфейсов, которыми злоумышленники могут воспользоваться для выполнения произвольного кода, написанного на таких языках программирования, как C, C++, Java и Visual Basic. Некоторые COM-объекты предназначены для выполнения не только кода, но и других функций, таких как создание запланированных задач (заданий), бесфайловые загрузка и выполнение кода, а также других действий, которые могут помочь злоумышленникам повысить уровень привилегий и закрепиться в системе.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_privilege_escalation: PT-CR-1931: ICMLuaUtil_UAC_Bypass: Запуск процесса с повышенными привилегиями в обход UAC через COM-интерфейс ICMLuaUtil mitre_attck_privilege_escalation: PT-CR-2596: IHxExec_Arbitrary_Code_Execution: Выполнен произвольный код от имени другого пользователя при помощи утилиты IHxExec. Эта утилита использует возможности метода "Execute" COM-объекта "IHxHelpPaneServer" для запуска кода в контексте выбранного активного сеанса
Способы обнаружения
ID | DS0012 | Источник и компонент данных | Сценарий: Выполнение сценария | Описание | Отслеживайте попытки включить поддержку сценариев в системе и рассматривайте их как подозрительные. Получение списков COM-объектов с помощью таких техник, как Запросы к реестру или PowerShell, также может предшествовать вредоносной активности. |
---|
ID | DS0011 | Источник и компонент данных | Модуль: Загрузка модуля | Описание | Отслеживайте COM-объекты, загружающие DLL и другие модули, не связанные с приложением. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, связанных с COM-объектами; особенно подозрительны процессы, запущенные не вошедшим в систему пользователем. |
---|
Меры противодействия
ID | M1048 | Название | Изоляция и помещение в песочницу приложений | Описание | Проследите, чтобы все предупреждения COM и функция Protected View были включены. |
---|
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Измените параметры реестра (непосредственно или с помощью Dcomcnfg.exe) в Измените параметры реестра (непосредственно или с помощью Dcomcnfg.exe) в |
---|