ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1175

术语表: /attack/glossary

分布式组件对象模型

Windows 分布式组件对象模型 (DCOM) 是一种透明的中间件,它使用远程过程调用 (RPC) 技术将组件对象模型 (COM) 的功能扩展到本地计算机之外。 COM 是 Windows 应用程序编程接口 (API) 的一个组件,它支持软件对象之间的交互。 通过 COM,客户端对象可以调用服务器对象的方法,这些方法通常是动态链接库 (DLL) 或可执行文件 (EXE)。 与本地和远程服务器 COM 对象交互的权限由注册表中的访问控制列表 (ACL) 指定。 默认情况下,只有管理员可以通过 DCOM 远程激活和启动 COM 对象。 攻击者可以使用 DCOM 进行横向移动。 通过 DCOM,在具有适当特权的用户上下文中操作的攻击者可以通过 Office 应用程序 以及其他包含不安全方法的 Windows 对象远程实现任意执行甚至直接执行 shellcode。 DCOM 还可以在现有文档 中执行宏,也可以直接通过 COM 创建的 Microsoft Office 应用程序实例调用动态数据交换(DDE),从而不需要恶意文档。 DCOM 还可以暴露能够在攻击者活动链(如特权提升和持久化)的其他部分中利用的功能。

缓解

修改 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID{AppID_GUID}中与单个 COM 应用程序的进程级安全性相关的注册表设置(直接或使用 Dcomcnfg.exe)。

修改 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole中与所有没有设置单独的进程级安全的 COM 应用程序相关的注册表设置(直接或使用 Dcomcnfg.exe)。

考虑通过 Dcomcnfg.exe 禁用 DCOM。

启用 Windows 防火墙,默认情况下阻止 DCOM 实例化。 确保启用所有 COM 告警和受保护视图。

检测

监视 COM 对象加载的 DLL 和通常与应用程序无关的其他模块。

监视与 COM 对象关联的进程生成,特别是由与当前登录的用户不同的用户调用的进程。 监控分布式计算环境/远程过程调用 (DCE/RPC) 流入流量。