COM-Hijacking
Was ist COM-Hijacking?
COM-HijackingPersistenztechnik, die die CLSID-Auflösung des Windows Component Object Model auf Angreifercode umleitet und diesen bei jeder Objektinstanziierung ausführt.
COM-Hijacking (MITRE ATT&CK T1546.015) missbraucht die Registrierung des Windows Component Object Model. Jedes COM-Objekt wird per CLSID unter HKLM oder HKCU identifiziert; die Benutzerstruktur HKCU\Software\Classes\CLSID wird vor HKLM durchsucht, sodass ein normaler Benutzer einen schädlichen InProcServer32-Pfad für eine häufig genutzte CLSID hinterlegen kann. Anschließend laden Explorer, Office oder geplante Aufgaben die DLL oder den Scriptlet des Angreifers. Da der Auslöser ein legitimer API-Aufruf (CoCreateInstance) ist, ist die Methode unauffällig und überdauert Neustarts. Detektion zielt auf neue HKCU-CLSID-Einträge, unsignierte DLLs in beschreibbaren Pfaden und untypische Kindprozesse von explorer.exe; Abwehr: AppLocker/WDAC, Sysmon-Registry-Monitoring und Beschränkung von Schreibrechten auf sensible Schlüssel.
● Beispiele
- 01
Registrieren eines bösartigen InProcServer32 unter HKCU\Software\Classes\CLSID für eine vom Explorer beim Logon geladene CLSID.
- 02
Übernahme eines COM-Handlers für geplante Aufgaben, sodass eine Routineaufgabe Angreifercode lädt.
● Häufige Fragen
Was ist COM-Hijacking?
Persistenztechnik, die die CLSID-Auflösung des Windows Component Object Model auf Angreifercode umleitet und diesen bei jeder Objektinstanziierung ausführt. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet COM-Hijacking?
Persistenztechnik, die die CLSID-Auflösung des Windows Component Object Model auf Angreifercode umleitet und diesen bei jeder Objektinstanziierung ausführt.
Wie funktioniert COM-Hijacking?
COM-Hijacking (MITRE ATT&CK T1546.015) missbraucht die Registrierung des Windows Component Object Model. Jedes COM-Objekt wird per CLSID unter HKLM oder HKCU identifiziert; die Benutzerstruktur HKCU\Software\Classes\CLSID wird vor HKLM durchsucht, sodass ein normaler Benutzer einen schädlichen InProcServer32-Pfad für eine häufig genutzte CLSID hinterlegen kann. Anschließend laden Explorer, Office oder geplante Aufgaben die DLL oder den Scriptlet des Angreifers. Da der Auslöser ein legitimer API-Aufruf (CoCreateInstance) ist, ist die Methode unauffällig und überdauert Neustarts. Detektion zielt auf neue HKCU-CLSID-Einträge, unsignierte DLLs in beschreibbaren Pfaden und untypische Kindprozesse von explorer.exe; Abwehr: AppLocker/WDAC, Sysmon-Registry-Monitoring und Beschränkung von Schreibrechten auf sensible Schlüssel.
Wie schützt man sich gegen COM-Hijacking?
Schutzmaßnahmen gegen COM-Hijacking kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für COM-Hijacking?
Übliche alternative Bezeichnungen: Component-Object-Model-Hijacking, CLSID-Hijacking.
● Verwandte Begriffe
- attacks№ 331
DLL-Hijacking
Angriff, der die DLL-Suchreihenfolge von Windows missbraucht, damit ein legitimes Programm eine vom Angreifer kontrollierte Bibliothek anstelle der vorgesehenen lädt.
- attacks№ 054
AppInit_DLLs
Legacy-Windows-Persistenztechnik, die einen Registry-Wert missbraucht, damit eine angegebene DLL in jeden Benutzerprozess geladen wird, der user32.dll bindet.
- attacks№ 515
IFEO-Injection
Persistenz- und Privilegieneskalationstechnik, die den Windows-Registry-Schlüssel Image File Execution Options missbraucht, um beim Start eines Ziel-Executables Angreifercode auszuführen.
- attacks№ 1246
WMI-Event-Subscription-Persistenz
Persistenztechnik, die einen permanenten WMI-Event-Filter und -Consumer registriert, sodass Angreifercode bei einem definierten Systemereignis ausgeführt wird.
- attacks№ 914
Run-Schlüssel-Persistenz
Klassische Windows-Persistenztechnik, die einen Eintrag unter einem Run- oder RunOnce-Registry-Schlüssel anlegt, damit ein Binary oder Skript bei jedem Logon ausgeführt wird.
- attacks№ 975
Geplante-Aufgaben-Persistenz
Persistenz- und Ausführungstechnik, bei der ein Angreifer eine Windows-Aufgabenplanungs-Aufgabe anlegt oder ändert, um sein Payload bei Logon, Boot oder Timer auszuführen.