COM-Hijacking
Was ist COM-Hijacking?
COM-HijackingPersistenztechnik, die die CLSID-Auflösung des Windows Component Object Model auf Angreifercode umleitet und diesen bei jeder Objektinstanziierung ausführt.
COM-Hijacking (MITRE ATT&CK T1546.015) missbraucht die Registrierung des Windows Component Object Model. Jedes COM-Objekt wird per CLSID unter HKLM oder HKCU identifiziert; die Benutzerstruktur HKCU\Software\Classes\CLSID wird vor HKLM durchsucht, sodass ein normaler Benutzer einen schädlichen InProcServer32-Pfad für eine häufig genutzte CLSID hinterlegen kann. Anschließend laden Explorer, Office oder geplante Aufgaben die DLL oder den Scriptlet des Angreifers. Da der Auslöser ein legitimer API-Aufruf (CoCreateInstance) ist, ist die Methode unauffällig und überdauert Neustarts. Detektion zielt auf neue HKCU-CLSID-Einträge, unsignierte DLLs in beschreibbaren Pfaden und untypische Kindprozesse von explorer.exe; Abwehr: AppLocker/WDAC, Sysmon-Registry-Monitoring und Beschränkung von Schreibrechten auf sensible Schlüssel.
● Beispiele
- 01
Registrieren eines bösartigen InProcServer32 unter HKCU\Software\Classes\CLSID für eine vom Explorer beim Logon geladene CLSID.
- 02
Übernahme eines COM-Handlers für geplante Aufgaben, sodass eine Routineaufgabe Angreifercode lädt.
● Häufige Fragen
Was ist COM-Hijacking?
Persistenztechnik, die die CLSID-Auflösung des Windows Component Object Model auf Angreifercode umleitet und diesen bei jeder Objektinstanziierung ausführt. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet COM-Hijacking?
Persistenztechnik, die die CLSID-Auflösung des Windows Component Object Model auf Angreifercode umleitet und diesen bei jeder Objektinstanziierung ausführt.
Wie schützt man sich gegen COM-Hijacking?
Schutzmaßnahmen gegen COM-Hijacking kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für COM-Hijacking?
Übliche alternative Bezeichnungen: Component-Object-Model-Hijacking, CLSID-Hijacking.