Перехват COM
Что такое Перехват COM?
Перехват COMТехника закрепления, перенаправляющая разрешение CLSID Windows Component Object Model на код злоумышленника, который выполняется при каждой инстанциации объекта.
Перехват COM (MITRE ATT&CK T1546.015) использует механизм регистрации Windows Component Object Model. Каждый COM-объект идентифицируется CLSID в HKLM или HKCU; пользовательский улей HKCU\Software\Classes\CLSID просматривается раньше HKLM, поэтому обычный пользователь может зарегистрировать вредоносный путь InProcServer32 для часто используемого CLSID. В результате Explorer, Office или планировщик задач загружают DLL или скриптлет злоумышленника. Триггером служит обычный вызов API CoCreateInstance, поэтому метод незаметен и переживает перезагрузку. Обнаружение строится на новых записях CLSID в HKCU, неподписанных DLL в пользовательских путях и аномальных дочерних процессах explorer.exe; защита включает AppLocker/WDAC, мониторинг реестра Sysmon и ограничение прав записи на чувствительные ключи.
● Примеры
- 01
Регистрация вредоносного InProcServer32 в HKCU\Software\Classes\CLSID для CLSID, загружаемого Explorer при входе.
- 02
Перехват COM-обработчика планировщика для загрузки кода злоумышленника штатной задачей.
● Частые вопросы
Что такое Перехват COM?
Техника закрепления, перенаправляющая разрешение CLSID Windows Component Object Model на код злоумышленника, который выполняется при каждой инстанциации объекта. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Перехват COM?
Техника закрепления, перенаправляющая разрешение CLSID Windows Component Object Model на код злоумышленника, который выполняется при каждой инстанциации объекта.
Как работает Перехват COM?
Перехват COM (MITRE ATT&CK T1546.015) использует механизм регистрации Windows Component Object Model. Каждый COM-объект идентифицируется CLSID в HKLM или HKCU; пользовательский улей HKCU\Software\Classes\CLSID просматривается раньше HKLM, поэтому обычный пользователь может зарегистрировать вредоносный путь InProcServer32 для часто используемого CLSID. В результате Explorer, Office или планировщик задач загружают DLL или скриптлет злоумышленника. Триггером служит обычный вызов API CoCreateInstance, поэтому метод незаметен и переживает перезагрузку. Обнаружение строится на новых записях CLSID в HKCU, неподписанных DLL в пользовательских путях и аномальных дочерних процессах explorer.exe; защита включает AppLocker/WDAC, мониторинг реестра Sysmon и ограничение прав записи на чувствительные ключи.
Как защититься от Перехват COM?
Защита от Перехват COM обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Перехват COM?
Распространённые альтернативные названия: Перехват Component Object Model, Перехват CLSID.
● Связанные термины
- attacks№ 331
Перехват DLL
Атака, использующая порядок поиска DLL в Windows, чтобы легитимная программа загрузила подконтрольную злоумышленнику библиотеку вместо нужной.
- attacks№ 054
AppInit_DLLs
Устаревшая техника закрепления в Windows, использующая значение реестра для загрузки указанной DLL в каждый пользовательский процесс, связанный с user32.dll.
- attacks№ 515
Внедрение через IFEO
Техника закрепления и повышения привилегий, использующая раздел реестра Image File Execution Options для запуска кода злоумышленника при старте целевого исполняемого файла.
- attacks№ 1246
Закрепление через подписку WMI
Техника закрепления, регистрирующая постоянный WMI-фильтр и потребитель события, чтобы код злоумышленника запускался при выбранном системном событии.
- attacks№ 914
Закрепление через раздел Run реестра
Классическая техника закрепления в Windows, добавляющая запись в раздел реестра Run или RunOnce для запуска бинарника или скрипта при каждом входе пользователя.
- attacks№ 975
Закрепление через запланированные задания
Техника закрепления и исполнения, при которой злоумышленник создаёт или изменяет запланированное задание Windows для запуска пейлоада по триггеру (вход, загрузка, таймер).