Sequestro COM
O que é Sequestro COM?
Sequestro COMTécnica de persistência que redireciona a resolução de um CLSID do Component Object Model do Windows para código do atacante, executado sempre que o objeto é instanciado.
O COM hijacking (MITRE ATT&CK T1546.015) abusa do registo do Component Object Model do Windows. Cada objeto COM é identificado por um CLSID em HKLM ou HKCU; a colmeia de utilizador HKCU\Software\Classes\CLSID é consultada antes de HKLM, pelo que um utilizador comum pode registar um InProcServer32 malicioso para um CLSID usado frequentemente e fazer com que o Explorer, o Office ou tarefas agendadas carreguem a sua DLL ou scriptlet. Como o disparador é uma chamada API legítima (CoCreateInstance), a técnica é discreta e sobrevive a reinícios. A deteção foca-se em novas entradas CLSID em HKCU, DLL não assinadas em caminhos de utilizador e processos filhos anómalos do explorer.exe; defesas incluem AppLocker/WDAC, monitorização do registo com Sysmon e remoção da escrita em chaves sensíveis.
● Exemplos
- 01
Registar um InProcServer32 malicioso em HKCU\Software\Classes\CLSID para um CLSID carregado pelo Explorer no logon.
- 02
Sequestrar um manipulador COM de tarefa agendada para carregar código do atacante.
● Perguntas frequentes
O que é Sequestro COM?
Técnica de persistência que redireciona a resolução de um CLSID do Component Object Model do Windows para código do atacante, executado sempre que o objeto é instanciado. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Sequestro COM?
Técnica de persistência que redireciona a resolução de um CLSID do Component Object Model do Windows para código do atacante, executado sempre que o objeto é instanciado.
Como funciona Sequestro COM?
O COM hijacking (MITRE ATT&CK T1546.015) abusa do registo do Component Object Model do Windows. Cada objeto COM é identificado por um CLSID em HKLM ou HKCU; a colmeia de utilizador HKCU\Software\Classes\CLSID é consultada antes de HKLM, pelo que um utilizador comum pode registar um InProcServer32 malicioso para um CLSID usado frequentemente e fazer com que o Explorer, o Office ou tarefas agendadas carreguem a sua DLL ou scriptlet. Como o disparador é uma chamada API legítima (CoCreateInstance), a técnica é discreta e sobrevive a reinícios. A deteção foca-se em novas entradas CLSID em HKCU, DLL não assinadas em caminhos de utilizador e processos filhos anómalos do explorer.exe; defesas incluem AppLocker/WDAC, monitorização do registo com Sysmon e remoção da escrita em chaves sensíveis.
Como se defender contra Sequestro COM?
As defesas contra Sequestro COM costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Sequestro COM?
Nomes alternativos comuns: Sequestro de Component Object Model, Sequestro de CLSID.
● Termos relacionados
- attacks№ 331
Sequestro de DLL
Ataque que abusa da ordem de busca de DLL no Windows para fazer um programa legítimo carregar uma biblioteca controlada pelo atacante em vez da pretendida.
- attacks№ 054
AppInit_DLLs
Técnica legada de persistência no Windows que abusa de um valor do registo para carregar uma DLL específica em todos os processos de utilizador que ligam ao user32.dll.
- attacks№ 515
Injeção IFEO
Técnica de persistência e elevação de privilégios que abusa da chave de registo Image File Execution Options do Windows para executar código quando um executável-alvo é iniciado.
- attacks№ 1246
Persistência por subscrição de eventos WMI
Técnica de persistência que regista um filtro e um consumidor permanentes de eventos WMI para executar código do atacante quando ocorre um evento do sistema escolhido.
- attacks№ 914
Persistência por chave Run do registo
Técnica clássica de persistência do Windows que adiciona uma entrada numa chave Run ou RunOnce do registo para executar um binário ou script sempre que o utilizador inicia sessão.
- attacks№ 975
Persistência por tarefa agendada
Técnica de persistência e execução em que o atacante cria ou altera uma tarefa agendada do Windows para executar o seu payload com base num gatilho (logon, arranque, temporizador).