T1559.001: COM-модель

Злоумышленники могут использовать COM-модель Windows для выполнения кода в локальной среде. COM — это компонент механизма межпроцессных взаимодействий нативного программного интерфейса (API) Windows, обеспечивающий взаимодействие между программными объектами и (или) между объектами и исполняемым кодом и реализующий один или несколько интерфейсов. С помощью COM объект-клиент может вызывать методы объектов-серверов, обычно представляющих собой бинарные файлы DLL-библиотек или исполняемые файлы EXE. Выполнение COM-объектов можно реализовать удаленно через службы удаленного доступа, такие как распределенная COM-модель (DCOM).

Доступно несколько COM-интерфейсов, которыми злоумышленники могут воспользоваться для выполнения произвольного кода, написанного на таких языках программирования, как C, C++, Java и Visual Basic. Некоторые COM-объекты предназначены для выполнения не только кода, но и других функций, таких как создание запланированных задач (заданий), бесфайловые загрузка и выполнение кода, а также других действий, которые могут помочь злоумышленникам повысить уровень привилегий и закрепиться в системе.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_privilege_escalation: PT-CR-1931: ICMLuaUtil_UAC_Bypass: Запуск процесса с повышенными привилегиями в обход UAC через COM-интерфейс ICMLuaUtil mitre_attck_privilege_escalation: PT-CR-2596: IHxExec_Arbitrary_Code_Execution: Выполнен произвольный код от имени другого пользователя при помощи утилиты IHxExec. Эта утилита использует возможности метода "Execute" COM-объекта "IHxHelpPaneServer" для запуска кода в контексте выбранного активного сеанса

Способы обнаружения

IDDS0012Источник и компонент данныхСценарий: Выполнение сценарияОписание

Отслеживайте попытки включить поддержку сценариев в системе и рассматривайте их как подозрительные. Получение списков COM-объектов с помощью таких техник, как Запросы к реестру или PowerShell, также может предшествовать вредоносной активности.

IDDS0011Источник и компонент данныхМодуль: Загрузка модуляОписание

Отслеживайте COM-объекты, загружающие DLL и другие модули, не связанные с приложением.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых процессов, связанных с COM-объектами; особенно подозрительны процессы, запущенные не вошедшим в систему пользователем.

Меры противодействия

IDM1048НазваниеИзоляция и помещение в песочницу приложенийОписание

Проследите, чтобы все предупреждения COM и функция Protected View были включены.

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Измените параметры реестра (непосредственно или с помощью Dcomcnfg.exe) в HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\AppID\\{AppID_GUID}, связанные с безопасностью процессов отдельных COM-приложений.

Измените параметры реестра (непосредственно или с помощью Dcomcnfg.exe) в HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Ole, связанные с общесистемными настройками безопасности по умолчанию для всех COM-приложений, которые не регулируют безопасность своих процессов.