› › ›

组件对象模型劫持

编辑

组件对象模型劫持编辑

识别通过注册表修改进行的组件对象模型 (COM) 劫持。攻击者可以通过执行由劫持的对 COM 对象的引用触发的恶意内容来建立持久性。

规则类型：eql

规则索引:

logs-endpoint.events.registry-*

严重程度：中等

风险评分: 47

运行频率：5 分钟

搜索索引的时间范围：now-9m（日期数学格式，另请参阅额外回溯时间）

每次执行的最大警报数: 100

参考:

https://bohops.com/2018/08/18/abusing-the-com-registry-structure-part-2-loading-techniques-for-evasion-and-persistence/

标签:

域：端点
操作系统：Windows
用例：威胁检测
战术：持久性
战术：防御规避
战术：权限提升
资源：调查指南
数据源：Elastic Endgame
数据源：Elastic Defend

版本: 113

规则作者:

Elastic

规则许可证：Elastic 许可证 v2

调查指南编辑

分类和分析

调查组件对象模型劫持

攻击者可以通过劫持 COM 引用和关系来插入恶意代码，这些代码可以代替合法软件执行，以此作为一种持久性手段。

可能的调查步骤

调查未知进程的进程执行链（父进程树）。检查其可执行文件的流行程度、它们是否位于预期位置以及它们是否使用有效的数字签名进行签名。
识别执行该操作的用户帐户，以及该帐户是否应执行此类操作。
调查过去 48 小时内与该用户/主机相关的其他警报。
通过查找主机上的类似事件来评估此行为在环境中是否普遍存在。
检索注册表中引用的文件，并确定它是否是恶意文件
使用私有沙盒恶意软件分析系统执行分析。
观察并收集有关以下活动的信息
尝试联系外部域和地址。
文件和注册表访问、修改和创建活动。
服务创建和启动活动。
计划任务创建。
使用 PowerShell Get-FileHash cmdlet 获取文件的 SHA-256 哈希值。
在 VirusTotal、Hybrid-Analysis、CISCO Talos、Any.run 等资源中搜索哈希值的存在和信誉。

误报分析

某些 Microsoft 可执行文件将引用 LocalServer32 注册表项值来查找外部 COM 对象的位置。

响应和修复

根据分类结果启动事件响应流程。
隔离受影响的主机，以防止进一步的入侵后行为。
如果分类识别出恶意软件，请在环境中搜索其他受感染的主机。
实施临时网络规则、程序和分段以遏制恶意软件。
停止可疑进程。
立即阻止已识别的入侵指标 (IoC)。
检查受影响的系统是否存在其他恶意软件后门，例如反向 shell、反向代理或攻击者可能用来重新感染系统的 dropper。
删除并阻止在分类过程中识别的恶意软件。
调查攻击者入侵或使用的系统上的凭据泄露情况，以确保识别所有受感染的帐户。重置这些帐户和其他可能泄露的凭据（例如电子邮件、业务系统和 Web 服务）的密码。
运行完整反恶意软件扫描。这可能会揭示系统中留下的其他工件、持久性机制和恶意软件组件。
确定攻击者滥用的初始入侵途径，并采取措施防止通过同一途径再次感染。
使用事件响应数据更新日志记录和审计策略，以缩短平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

设置编辑

设置

如果在非 elastic-agent 索引（例如 beats）上为 <8.2 版本启用 EQL 规则，则事件将不会定义 event.ingested，并且在 8.2 版本之前不会添加 EQL 规则的默认回退机制。因此，为了使此规则有效运行，用户需要添加自定义提取管道以将 event.ingested 填充到 @timestamp。有关添加自定义提取管道的更多详细信息，请参阅 - https://elastic.ac.cn/guide/en/fleet/current/data-streams-pipeline-tutorial.html

规则查询编辑

registry where host.os.type == "windows" and
  /* not necessary but good for filtering privileged installations */
  user.domain != "NT AUTHORITY" and process.executable != null and
  (
    (
      registry.path : "HK*\\InprocServer32\\" and
      registry.data.strings: ("scrobj.dll", "?:\\*\\scrobj.dll") and
      not registry.path : "*\\{06290BD*-48AA-11D2-8432-006008C3FBFC}\\*"
    ) or

    (
      registry.path : "HKLM\\*\\InProcServer32\\*" and
        registry.data.strings : ("*\\Users\\*", "*\\ProgramData\\*")
    ) or

    /* in general COM Registry changes on Users Hive is less noisy and worth alerting */
    (
      registry.path : (
        "HKEY_USERS\\*\\InprocServer32\\",
        "HKEY_USERS\\*\\LocalServer32\\",
        "HKEY_USERS\\*\\DelegateExecute",
        "HKEY_USERS\\*\\TreatAs\\",
        "HKEY_USERS\\*\\ScriptletURL*"
      )
    )
  ) and

      not  (
            process.code_signature.trusted == true and
            process.code_signature.subject_name in
                         ("Island Technology Inc.", "Google LLC", "Grammarly, Inc.", "Dropbox, Inc", "REFINITIV US LLC", "HP Inc.",
                          "Citrix Systems, Inc.", "Adobe Inc.", "Veeam Software Group GmbH", "Zhuhai Kingsoft Office Software Co., Ltd.",
                          "Oracle America, Inc.")
        ) and

  /* excludes Microsoft signed noisy processes */
  not
  (
    process.name : ("OneDrive.exe", "OneDriveSetup.exe", "FileSyncConfig.exe", "Teams.exe", "MicrosoftEdgeUpdate.exe", "msrdcw.exe", "MicrosoftEdgeUpdateComRegisterShell64.exe") and
    process.code_signature.trusted == true and process.code_signature.subject_name in ("Microsoft Windows", "Microsoft Corporation")
  ) and

  not process.executable :
                  ("?:\\Program Files (x86)\\*.exe",
                   "?:\\Program Files\\*.exe",
                   "?:\\Windows\\System32\\svchost.exe",
                   "?:\\Windows\\System32\\msiexec.exe",
                   "?:\\Windows\\SysWOW64\\regsvr32.exe",
                   "?:\\Windows\\System32\\regsvr32.exe",
                   "?:\\Windows\\System32\\DriverStore\\FileRepository\\*.exe",
                   "?:\\ProgramData\\Microsoft\\Windows Defender\\Platform\\*\\MsMpEng.exe")

框架：MITRE ATT&CK^TM

战术
- 名称：持久性
- ID：TA0003
- 参考 URL：https://attack.mitre.org/tactics/TA0003/
技术
- 名称：事件触发执行
- ID：T1546
- 参考 URL：https://attack.mitre.org/techniques/T1546/
子技术
- 名称：组件对象模型劫持
- ID：T1546.015
- 参考 URL：https://attack.mitre.org/techniques/T1546/015/
战术
- 名称：权限提升
- ID：TA0004
- 参考 URL：https://attack.mitre.org/tactics/TA0004/
技术
- 名称：事件触发执行
- ID：T1546
- 参考 URL：https://attack.mitre.org/techniques/T1546/
子技术
- 名称：组件对象模型劫持
- ID：T1546.015
- 参考 URL：https://attack.mitre.org/techniques/T1546/015/
战术
- 名称：防御规避
- ID：TA0005
- 参考 URL：https://attack.mitre.org/tactics/TA0005/
技术
- 名称：修改注册表
- ID：T1112
- 参考 URL：https://attack.mitre.org/techniques/T1112/

« 通过 RunDLL32 启动的命令行活动异常进程加载的压缩 DLL »