COM对象劫持

还有兄弟不知道网络安全面试可以提前刷题吗？费时一周整理的160+网络安全面试题，金九银十，做网络安全面试里的显眼包！

王岚嵚工程师面试题（附答案），只能帮兄弟们到这儿了！如果你能答对70%，找一个安全工作，问题不大。

对于有1-3年工作经验，想要跳槽的朋友来说，也是很好的温习资料！

【完整版领取方式在文末！！】

93道网络安全面试题

需要体系化学习资料的朋友，可以加我V获取：vip204888 （备注网络安全）

内容实在太多，不一一截图了

黑客学习资源推荐

最后给大家分享一份全套的网络安全学习资料，给那些想学习 网络安全的小伙伴们一点帮助！

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

😝朋友们如果有需要的话，可以联系领取~

1️⃣零基础入门

① 学习路线

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供：

2️⃣视频配套工具&国内外网安书籍、文档

① 工具

② 视频

③ 书籍

资源较为敏感，未展示全面，需要的最下面获取

② 简历模板

因篇幅有限，资料较为敏感仅展示部分资料，添加上方即可获取👆

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

Berbew恶意样本

Padodor/Berbew是滥用COM进行持久性攻击的主要恶意软件家族之一。这个特洛伊主要用于窃取凭据并将其传输到攻击者控制的远程主机上。该家族滥用的主要COM对象以达到持久化的目的。

如下所示：
{79ECA078-17FF-726B-E811-213280E5C831}
{79FEACFF-FFCE-815E-A900-316290B5B738}
{79FAA099-1BAE-816E-D711-115290CEE717}

关键注册表项如下(.reg)：

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{79ECA078-17FF-726B-E811-213280E5C831}\InProcServer32]
@="C:\\YouPath\\YouDll.dll"
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad" /v "Web Event Logger" /t REG_SZ /d "{79ECA078-17FF-726B-E811-213280E5C831}" /f

对应的注册表项指向了恶意的DLL文件。然而，该恶意软件家族的多个样本使用了第二个注册表键来实现持久性，该键指向我们之前描述的CLSID，例如以下示例：
在这种情况下，注册表键HKEY_CLASSES_ROOT\WOW6432Node\CLSID{79ECA078-17FF-726B-E811-213280E5C831}\InprocServer32\Default 指向恶意的DLL文件C：\ Windows \ SysWow64 \ Iimgdcia.dll。

第二个注册表项HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\Web Event Logger 指向之前的CLSID {79ECA078-17FF-726B-E811-213280E5C831}，它用于加载了恶意的DLL文件。

ShellServiceObjectDelayLoad注册表项（ShellServiceObjectDelayLoad的一部分），结合Berbew在此处使用的Web Event Logger子键，经常被用于启动真实的webcheck.dll的加载。这个DLL的任务是监控Internet Explorer应用程序中的网站。
先前使用的WebCheck注册表键的CLSID是{E6FB5E20-DE35-11CF-9C87-00AA005127ED}。然而，在某些情况下，现在使用的CLSID是{08165EA0-E946-11CF-9C87-00AA005127ED}。这两个CLSID都负责加载webcheck.dll，并被恶意软件样本滥用。

RATs远控木马

CLSID {89565275-A714-4a43-912E-978B935EDCCC}似乎被各种远程访问工具（RATs）广泛使用。根据我们的观察，这个CLSID主要与RemcosRAT和AsyncRAT等家族有关。然而，我们也遇到了BitRAT样本使用该CLSID的情况。思科Talos的研究人员发现与SugarGh0st RAT恶意软件相关的这个CLSID活动。

在大多数情况下，与该CLSID持久性相关的DLL是dynwrapx.dll。这个DLL在GitHub上的一个存储库中被发现，但目前不可用，然而这个DLL源自一个名为DynamicWrapperX的项目（在VirusTotal上首次出现于2010年）。它执行shellcode以将RAT注入进程中。

类似的情况是CLSID {26037A0E-7CBD-4FFF-9C63-56F2D0770214}。与该CLSID持久性相关的DLL是dbggame.dll。这个DLL于2012年首次上传到VirusTotal，被各种类型的恶意软件使用，包括XiaoBa等勒索软件。

DarkMe RAT

最后，从使用此技术的 RAT 来看，从 2023 年 12 月下旬到 2024 年 2 月，趋势科技零日计划团队 发现了CVE-2024-21412漏洞相关的各种事件。在这些活动期间，活跃的活动正在分发DarkMe RAT。在整个感染过程中，主要目标是逃避 Microsoft Defender SmartScreen 并将受害者引入 DarkMe 恶意软件。

TrendMicro 分析强调，Darkme RAT 样本利用了 CLSID{74A94F46-4FC5-4426-857B-FCE9D9286279}执行 RAT 的最终加载。然而，我们已经注意到使用其他 CLSID 来实现持久性，包括{D4D4D7B7-1774-4FE5-ABA8-4CC0B99452B4}在这个样本中。

此外，为了保证 DLL 的执行，它们使用 Autorun 键生成一个注册表项。该密钥的目标是使用以下命令启动 CLSID运行dll32.exe和/斯塔参数，用于加载 COM 对象，在本例中为先前创建的恶意 COM 对象。

**事件 ID：** 13 **事件类型：** SetValue **详细信息：** %windir%\SysWOW64\rundll32.exe /sta {D4D4D7B7-1774-4FE5-ABA8-4CC0B99452B4}“USB\_Module” **目标对象：** HKU\S-1-5-21-575823232-3065301323-1442773979 -1000\Software\Microsoft\Windows\CurrentVersion\Run\RunDllModule

Allaple蠕虫家族

在执行期间部署多个指向恶意 DLL 的 COM 对象

广告软件

Citrio 是 Catalina Group 设计的广告软件 Web 浏览器，在其最新版本中使用COM 对象来持久保留 CLSID{F4CBF20B-F634-4095-B64A-2EBCDD9E560E}。它会释放几个有害的 DLL，其中一个伪装成 Google Update（goopdate.dll），也称为 psuser.dll，它具有在系统上建立服务并使用 COM 对象进行持久化的能力。

常用于存储恶意负载的文件夹

到目前为止，我们看到的大多数恶意DLL通常存储在C：\ Users \ \ AppData \ Roaming \目录中。通常在此目录下创建子文件夹，其中最常见的包括：
\qmacro
\mymacro
\MacroCommerce
\Plugin
\Microsoft

除了这些，我们还发现以下文件夹经常被用来隐藏恶意DLL：
C:\Windows\SysWow64是64位Windows版本中的一个文件夹，包含合法的32位系统文件和库，经常被用来隐藏恶意DLL。它的普遍存在使其成为一个吸引人的藏匿地点，增加了检测的复杂性。但是，需要具备权限才能在其中创建文件。

C:\Program Files(x86)文件夹是另一个用于存储恶意COM劫持负载的合法目录。与\AppData\Roaming类似，在这种情况下，我们观察到恶意DLL存储在特定的子文件夹下，例如“\Google”、“\Mozilla Firefox”、“\Microsoft”、“\Common Files”或“\Internet Download Manager”。

C:\Users<user>\AppData\Local是另一个用于存储这些负载的文件夹，包括“\Temp”、“\Microsoft”和“\Google”子文件夹。

总结：

对于上面COM劫持利用方式，有如下Sigma规则：

https://github.com/SigmaHQ/sigma/blob/master/rules/windows/registry/registry_set/registry_set_persistence_search_order.yml

https://github.com/SigmaHQ/sigma/blob/master/rules/windows/registry/registry_set/registry_set_persistence_com_hijacking_susp_locations.yml

一、网安学习成长路线图

网安所有方向的技术点做的整理，形成各个领域的知识点汇总，它的用处就在于，你可以按照上面的知识点去找对应的学习资源，保证自己学得较为全面。

二、网安视频合集

观看零基础学习视频，看视频学习是最快捷也是最有效果的方式，跟着视频中老师的思路，从基础到深入，还是很容易入门的。

三、精品网安学习书籍

当我学到一定基础，有自己的理解能力的时候，会去阅读一些前辈整理的书籍或者手写的笔记资料，这些笔记详细记载了他们对一些技术点的理解，这些理解是比较独到，可以学到不一样的思路。

四、网络安全源码合集+工具包

光学理论是没用的，要学会跟着一起敲，要动手实操，才能将自己的所学运用到实际当中去，这时候可以搞点实战案例来学习。
需要体系化学习资料的朋友，可以加我V获取：vip204888 （备注网络安全）

五、网络安全面试题

最后就是大家最关心的网络安全面试题板块

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！