ربودن Component Object Model
Component Object Model Hijackingتوضیحات
مهاجمان رجیستری COM را تغییر میدهند تا DLLهای مخرب را به جای کامپوننتهای قانونی بارگذاری کنند. با تغییر مسیر DLL در رجیستری HKCU، مهاجمان میتوانند بدون نیاز به سطح دسترسی مدیر، کد مخرب را در فرآیندهای قانونی inject کنند.
روشهای شناسایی
نظارت بر تغییرات رجیستری COM در HKCU. بررسی بارگذاری DLL از مسیرهای غیرعادی. شناسایی COM hijacking با ابزارهای EDR. تحلیل رجیستری برای ورودیهای مشکوک.
روشهای مقابله
نظارت بر رجیستری COM. محدود کردن دسترسی به تغییر رجیستری. استفاده از Application Whitelisting. پیادهسازی حداقل سطح دسترسی. بررسی منظم رجیستری COM.
تکنیک اصلی
اجرای مبتنی بر رویداد
مهاجمان مکانیزمهای اجرای مبتنی بر رویداد را برای ایجاد پایداری پیکربندی میکنند. این تکنیک شامل تغییر تنظیماتی است که باعث میشود کد مخرب در پاسخ به رویدادهای خاص سیستم اجرا شود. رویدادهایی مانند ورود کاربر، تغییر فایل یا رویدادهای WMI میتوانند اجرای کد مخرب را آغاز کنند.