Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1559 , T1559.001 , T1559.002 , T1559.003
Злоумышленники могут использовать компонентную объектную модель (COM) Windows для локального выполнения кода. COM - это компонент межпроцессного взаимодействия (IPC) родного интерфейса прикладного программирования (API) Windows, который обеспечивает взаимодействие между программными объектами или исполняемым кодом, реализующим один или несколько интерфейсов.(Цитата: Fireeye Hunting COM June 2019) С помощью COM клиентский объект может вызывать методы серверных объектов, которые обычно являются бинарными библиотеками динамических связей (DLL) или исполняемыми файлами (EXE).(Цитата: Microsoft COM) Удаленное выполнение COM облегчается Remote Services, такими как Distributed Component Object Model (DCOM).(Цит. по: Fireeye Hunting COM June 2019)
Выявлены различные интерфейсы COM, которыми можно злоупотреблять для вызова произвольного выполнения с помощью различных языков программирования, таких как C, C++, Java и Visual Basic.(Цитата: Microsoft COM) Существуют также специфические COM-объекты для непосредственного выполнения функций, выходящих за рамки выполнения кода, таких как создание Scheduled Task/Job, загрузка/исполнение без файлов и другие действия Злоумышленника, связанные с повышением привилегий и сохранением.(Цитата: Fireeye Hunting COM June 2019)(Цитата: ProjectZero File Write EoP Apr 2018)
https://attack.mitre.org/techniques/T1559/001
Визуализация смежных техник для T1559.001
| № | Техника |
|---|
