Secuestro COM
¿Qué es Secuestro COM?
Secuestro COMTécnica de persistencia que redirige la búsqueda de un CLSID del Component Object Model de Windows hacia código del atacante, ejecutándolo cuando un proceso instancia ese objeto.
El COM hijacking (MITRE ATT&CK T1546.015) abusa del sistema de registro del Component Object Model de Windows. Cada objeto COM se identifica por un CLSID en HKLM o HKCU; la rama por usuario HKCU\Software\Classes\CLSID se consulta antes que HKLM, por lo que un usuario normal puede registrar un InProcServer32 malicioso para un CLSID muy utilizado y conseguir que Explorer, Office o tareas programadas carguen su DLL o scriptlet. Como el disparador es una llamada API legítima (CoCreateInstance), la técnica es sigilosa y sobrevive a reinicios. La detección se centra en nuevas entradas CLSID en HKCU, DLL sin firmar en rutas de usuario y procesos hijos anómalos de explorer.exe; las defensas incluyen AppLocker/WDAC, monitorización de registro con Sysmon y quitar permisos de escritura en claves sensibles.
● Ejemplos
- 01
Registrar un InProcServer32 malicioso en HKCU\Software\Classes\CLSID para un CLSID cargado por Explorer al iniciar sesión.
- 02
Secuestrar un gestor COM de tareas programadas para que una tarea rutinaria cargue código del atacante.
● Preguntas frecuentes
¿Qué es Secuestro COM?
Técnica de persistencia que redirige la búsqueda de un CLSID del Component Object Model de Windows hacia código del atacante, ejecutándolo cuando un proceso instancia ese objeto. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Secuestro COM?
Técnica de persistencia que redirige la búsqueda de un CLSID del Component Object Model de Windows hacia código del atacante, ejecutándolo cuando un proceso instancia ese objeto.
¿Cómo funciona Secuestro COM?
El COM hijacking (MITRE ATT&CK T1546.015) abusa del sistema de registro del Component Object Model de Windows. Cada objeto COM se identifica por un CLSID en HKLM o HKCU; la rama por usuario HKCU\Software\Classes\CLSID se consulta antes que HKLM, por lo que un usuario normal puede registrar un InProcServer32 malicioso para un CLSID muy utilizado y conseguir que Explorer, Office o tareas programadas carguen su DLL o scriptlet. Como el disparador es una llamada API legítima (CoCreateInstance), la técnica es sigilosa y sobrevive a reinicios. La detección se centra en nuevas entradas CLSID en HKCU, DLL sin firmar en rutas de usuario y procesos hijos anómalos de explorer.exe; las defensas incluyen AppLocker/WDAC, monitorización de registro con Sysmon y quitar permisos de escritura en claves sensibles.
¿Cómo defenderse de Secuestro COM?
Las defensas contra Secuestro COM combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Secuestro COM?
Nombres alternativos comunes: Secuestro de Component Object Model, Secuestro de CLSID.
● Términos relacionados
- attacks№ 331
Secuestro de DLL
Ataque que abusa del orden de búsqueda de DLL en Windows para que un programa legítimo cargue una biblioteca controlada por el atacante en lugar de la legítima.
- attacks№ 054
AppInit_DLLs
Técnica heredada de persistencia en Windows que abusa de un valor del registro para que una DLL determinada se cargue en todo proceso de usuario que enlace user32.dll.
- attacks№ 515
Inyección IFEO
Técnica de persistencia y escalada de privilegios que abusa de la clave Image File Execution Options del registro de Windows para ejecutar código cuando se inicia un ejecutable objetivo.
- attacks№ 1246
Persistencia por suscripción a eventos WMI
Técnica de persistencia que registra un filtro y un consumidor permanentes de eventos WMI para que el código del atacante se ejecute cuando ocurra un evento del sistema.
- attacks№ 914
Persistencia por clave Run del registro
Técnica clásica de persistencia en Windows que añade una entrada en una clave Run o RunOnce del registro para ejecutar un binario o script cada vez que el usuario inicia sesión.
- attacks№ 975
Persistencia por tarea programada
Técnica de persistencia y ejecución en la que el atacante crea o modifica una tarea programada de Windows para ejecutar su payload por inicio de sesión, arranque o temporizador.