Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1218 , T1218.001 , T1218.002 , T1218.003 , T1218.004 , T1218.005 , T1218.007 , T1218.008 , T1218.009 , T1218.010 , T1218.011 , T1218.012 , T1218.013 , T1218.014 , T1218.015
Злоумышленники могут использовать файл verclsid.exe для прокси-исполнения вредоносного кода.Verclsid.exe известен как Extension CLSID Verification Host и отвечает за проверку каждого расширения оболочки, прежде чем оно будет использовано проводником Windows или оболочкой Windows Shell.(Цитата: WinOSBite verclsid.exe)
Злоумышленники могут использовать verclsid.exe для выполнения вредоносной полезной нагрузки. Это может быть достигнуто путем запуска verclsid.exe /S /C {CLSID}, где файл ссылается на идентификатор класса (CLSID), уникальный идентификационный номер, используемый для идентификации COM-объектов. Полезная нагрузка COM, выполняемая verclsid.exe, может быть способна выполнять различные вредоносные действия, такие как загрузка и выполнение COM-скриптов (SCT) с удаленных серверов (аналогично Regsvr32).Поскольку двоичный файл может быть подписан и/или является родным для систем Windows, проксирование выполнения через verclsid.exe может обойти решения по контролю приложений, которые не учитывают возможность его использования.(Цитата: LOLBAS Verclsid)(Цитата: Red Canary Verclsid.exe)(Цитата: BOHOPS Abusing the COM Registry)(Цитата: Nick Tyrer GitHub)
https://attack.mitre.org/techniques/T1218/012
Визуализация смежных техник для T1218.012
| № | Техника |
|---|
