Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1021.003 - Распределенный COM

Примеры обнаружения с помощью продуктов "Кода Безопасности":

Техники:  T1021 , T1021.001 , T1021.002 , T1021.003 , T1021.004 , T1021.005 , T1021.006 , T1021.007 , T1021.008

Злоумышленники могут использовать Valid Accounts для взаимодействия с удаленными машинами, используя преимущества Distributed Component Object Model (DCOM). После этого злоумышленник может выполнять действия в качестве вошедшего в систему пользователя.

Компонентная объектная модель Windows (COM) - это компонент интерфейса прикладного программирования (API) Windows, который обеспечивает взаимодействие между программными объектами или исполняемым кодом, реализующим один или несколько интерфейсов. С помощью COM клиентский объект может вызывать методы серверных объектов, которые обычно представляют собой библиотеки динамических связей (DLL) или исполняемые файлы (EXE).Distributed COM (DCOM) - это прозрачное промежуточное программное обеспечение, которое расширяет функциональность COM за пределы локального компьютера с помощью технологии удаленного вызова процедур (RPC).(Цитата: Fireeye Hunting COM June 2019)(Цитата: Microsoft COM)

Разрешения на взаимодействие с локальными и удаленными серверными COM-объектами задаются списками контроля доступа (ACL) в реестре.(Цитата: Microsoft Process Wide Com Keys) По умолчанию только администраторы могут удаленно активировать и запускать COM-объекты через DCOM.(Цитата: Microsoft COM ACL)

Через DCOM Злоумышленники, действующие в контексте привилегированного пользователя, могут удаленно получить произвольный и даже прямой shellcode через приложения Office (Цитата: Enigma Outlook DCOM Lateral Movement Nov 2017), а также другие объекты Windows, содержащие небезопасные методы.(Цитата: Enigma MMC20 COM Jan 2017)(Цитата: Enigma DCOM Lateral Movement Jan 2017) DCOM также может выполнять макросы в существующих документах(Цитата: Enigma Excel DCOM Sept 2017), а также может вызывать выполнение Dynamic Data Exchange (DDE) непосредственно через созданный COM экземпляр приложения Microsoft Office(Цитата: Cyberreason DCOM DDE Lateral Movement Nov 2017), минуя необходимость создания вредоносного документа. DCOM может использоваться как метод удаленного взаимодействия с Windows Management Instrumentation.(Цит. по: MSDN WMI)

https://attack.mitre.org/techniques/T1021/003

← Назад

Визуализация смежных техник для T1021.003

Отрасль:
 с подтехниками
Техника

Закрыть