V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
T1175EnterpriseУстаревший
Матрица: Enterprise
Статус: Устаревший
STIX: 19.0
Источник ↗

Объектная модель компонентов и распределенная COM

**Эта техника устарела. Используйте Распределенная объектная модель компонентов и Объектная модель компонентов.** Злоумышленники могут использовать Windows Component Object Model (COM) и Distributed Component Object Model (DCOM) для выполнения локального кода или для выполнения на удаленных системах в рамках горизонтального перемещения. COM — это компонент встроенного интерфейса программирования приложений (API) Windows, который обеспечивает взаимодействие между программными объектами или исполняемым кодом, реализующим один или несколько интерфейсов. Через COM клиентский объект может вызывать методы серверных объектов, которые обычно представляют собой динамически подключаемые библиотеки (DLL) или исполняемые файлы (EXE). DCOM — это прозрачное промежуточное ПО, которое расширяет функциональность Component Object Model (COM) за пределы локального компьютера с использованием технологии удаленного вызова процедур (RPC). Разрешения на взаимодействие с локальными и удаленными серверными COM-объектами указываются в списках управления доступом (ACL) в реестре. По умолчанию только администраторы могут удаленно активировать и запускать COM-объекты через DCOM. Злоумышленники могут злоупотреблять COM для выполнения локальных команд и/или полезной нагрузки. Доступны различные COM-интерфейсы, которые могут быть использованы для вызова произвольного выполнения через различные языки программирования, такие как C, C++, Java и VBScript. Существуют также специфические COM-объекты для непосредственного выполнения функций помимо выполнения кода, таких как создание Запланированной задачи, загрузка/выполнение без файлов и другие действия злоумышленников, такие как повышение привилегий и закрепление. Злоумышленники могут использовать DCOM для горизонтального перемещения. Через DCOM злоумышленники, действующие в контексте соответствующим образом привилегированного пользователя, могут удаленно получить произвольное и даже прямое выполнение шелл-кода через приложения Office, а также другие объекты Windows, содержащие небезопасные методы. DCOM также может выполнять макросы в существующих документах и может также напрямую вызывать выполнение Динамического обмена данными (DDE) через экземпляр приложения Microsoft Office, созданный через COM, обходя необходимость в вредоносном документе.

Тактики

ВыполнениеПеремещение внутри периметра

Платформы

Windows
Открыть в каталоге с фильтром ATT&CK →

Связанные CAPEC

Затронутые уязвимости (выводимые)

Открыть на attack.mitre.org ↗
Совпадений нет — уточните фильтр.