Sequestro COM
O que é Sequestro COM?
Sequestro COMTécnica de persistência que redireciona a resolução de um CLSID do Component Object Model do Windows para código do atacante, executado sempre que o objeto é instanciado.
O COM hijacking (MITRE ATT&CK T1546.015) abusa do registo do Component Object Model do Windows. Cada objeto COM é identificado por um CLSID em HKLM ou HKCU; a colmeia de utilizador HKCU\Software\Classes\CLSID é consultada antes de HKLM, pelo que um utilizador comum pode registar um InProcServer32 malicioso para um CLSID usado frequentemente e fazer com que o Explorer, o Office ou tarefas agendadas carreguem a sua DLL ou scriptlet. Como o disparador é uma chamada API legítima (CoCreateInstance), a técnica é discreta e sobrevive a reinícios. A deteção foca-se em novas entradas CLSID em HKCU, DLL não assinadas em caminhos de utilizador e processos filhos anómalos do explorer.exe; defesas incluem AppLocker/WDAC, monitorização do registo com Sysmon e remoção da escrita em chaves sensíveis.
● Exemplos
- 01
Registar um InProcServer32 malicioso em HKCU\Software\Classes\CLSID para um CLSID carregado pelo Explorer no logon.
- 02
Sequestrar um manipulador COM de tarefa agendada para carregar código do atacante.
● Perguntas frequentes
O que é Sequestro COM?
Técnica de persistência que redireciona a resolução de um CLSID do Component Object Model do Windows para código do atacante, executado sempre que o objeto é instanciado. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Sequestro COM?
Técnica de persistência que redireciona a resolução de um CLSID do Component Object Model do Windows para código do atacante, executado sempre que o objeto é instanciado.
Como se defender contra Sequestro COM?
As defesas contra Sequestro COM costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Sequestro COM?
Nomes alternativos comuns: Sequestro de Component Object Model, Sequestro de CLSID.