COM对象劫持

安全狗的趣事记录

已于 2024-03-13 17:55:46 修改

阅读量1.7k

点赞数 41

文章标签：安全

于 2024-03-13 17:52:01 首次发布

本文链接：https://blog.csdn.net/weixin_55030700/article/details/136685075

版权

参考： COM Objects Hijacking ~ VirusTotal Blog

COM 劫持技术经常被威胁行为者和各种恶意软件家族用来在目标系统中实现持久性和权限升级。它依赖于操作组件对象模型(COM)，通过在与 COM 对象本身相关的特定注册表项上添加新值，利用 Windows 的核心体系结构来实现软件组件之间的通信。

Berbew恶意样本

Padodor/Berbew是滥用COM进行持久性攻击的主要恶意软件家族之一。这个特洛伊主要用于窃取凭据并将其传输到攻击者控制的远程主机上。该家族滥用的主要COM对象以达到持久化的目的。

如下所示：
{79ECA078-17FF-726B-E811-213280E5C831}
{79FEACFF-FFCE-815E-A900-316290B5B738}
{79FAA099-1BAE-816E-D711-115290CEE717}

关键注册表项如下(.reg)：

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{79ECA078-17FF-726B-E811-213280E5C831}\InProcServer32]
@="C:\\YouPath\\YouDll.dll"
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad" /v "Web Event Logger" /t REG_SZ /d "{79ECA078-17FF-726B-E811-213280E5C831}" /f

对应的注册表项指向了恶意的DLL文件。然而，该恶意软件家族的多个样本使用了第二个注册表键来实现持久性，该键指向我们之前描述的CLSID，例如以下示例：
在这种情况下，注册表键HKEY_CLASSES_ROOT\WOW6432Node\CLSID\{79ECA078-17FF-726B-E811-213280E5C831}\InprocServer32\Default 指向恶意的DLL文件C：\ Windows \ SysWow64 \ Iimgdcia.dll。

第二个注册表项HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\Web Event Logger 指向之前的CLSID {79ECA078-17FF-726B-E811-213280E5C831}，它用于加载了恶意的DLL文件。

ShellServiceObjectDelayLoad注册表项（ShellServiceObjectDelayLoad的一部分），结合Berbew在此处使用的Web Event Logger子键，经常被用于启动真实的webcheck.dll的加载。这个DLL的任务是监控Internet Explorer应用程序中的网站。
先前使用的WebCheck注册表键的CLSID是{E6FB5E20-DE35-11CF-9C87-00AA005127ED}。然而，在某些情况下，现在使用的CLSID是{08165EA0-E946-11CF-9C87-00AA005127ED}。这两个CLSID都负责加载webcheck.dll，并被恶意软件样本滥用。

RATs远控木马

CLSID {89565275-A714-4a43-912E-978B935EDCCC}似乎被各种远程访问工具（RATs）广泛使用。根据我们的观察，这个CLSID主要与RemcosRAT和AsyncRAT等家族有关。然而，我们也遇到了BitRAT样本使用该CLSID的情况。思科Talos的研究人员发现与SugarGh0st RAT恶意软件相关的这个CLSID活动。

在大多数情况下，与该CLSID持久性相关的DLL是dynwrapx.dll。这个DLL在GitHub上的一个存储库中被发现，但目前不可用，然而这个DLL源自一个名为DynamicWrapperX的项目（在VirusTotal上首次出现于2010年）。它执行shellcode以将RAT注入进程中。

类似的情况是CLSID {26037A0E-7CBD-4FFF-9C63-56F2D0770214}。与该CLSID持久性相关的DLL是dbggame.dll。这个DLL于2012年首次上传到VirusTotal，被各种类型的恶意软件使用，包括XiaoBa等勒索软件。

DarkMe RAT

最后，从使用此技术的 RAT 来看，从 2023 年 12 月下旬到 2024 年 2 月，趋势科技零日计划团队发现了CVE-2024-21412漏洞相关的各种事件。在这些活动期间，活跃的活动正在分发DarkMe RAT。在整个感染过程中，主要目标是逃避 Microsoft Defender SmartScreen 并将受害者引入 DarkMe 恶意软件。

TrendMicro 分析强调，Darkme RAT 样本利用了 CLSID{74A94F46-4FC5-4426-857B-FCE9D9286279}执行 RAT 的最终加载。然而，我们已经注意到使用其他 CLSID 来实现持久性，包括{D4D4D7B7-1774-4FE5-ABA8-4CC0B99452B4}在这个样本中。

此外，为了保证 DLL 的执行，它们使用 Autorun 键生成一个注册表项。该密钥的目标是使用以下命令启动 CLSID运行dll32.exe和/斯塔参数，用于加载 COM 对象，在本例中为先前创建的恶意 COM 对象。

事件 ID： 13 事件类型： SetValue 详细信息： %windir%\SysWOW64\rundll32.exe /sta {D4D4D7B7-1774-4FE5-ABA8-4CC0B99452B4}“USB_Module” 目标对象： HKU\S-1-5-21-575823232-3065301323-1442773979 -1000\Software\Microsoft\Windows\CurrentVersion\Run\RunDllModule

Allaple蠕虫家族

在执行期间部署多个指向恶意 DLL 的 COM 对象

广告软件

Citrio 是 Catalina Group 设计的广告软件 Web 浏览器，在其最新版本中使用COM 对象来持久保留 CLSID{F4CBF20B-F634-4095-B64A-2EBCDD9E560E}。它会释放几个有害的 DLL，其中一个伪装成 Google Update（goopdate.dll），也称为 psuser.dll，它具有在系统上建立服务并使用 COM 对象进行持久化的能力。

常用于存储恶意负载的文件夹

到目前为止，我们看到的大多数恶意DLL通常存储在C：\ Users \ <user> \ AppData \ Roaming \目录中。通常在此目录下创建子文件夹，其中最常见的包括：
\qmacro
\mymacro
\MacroCommerce
\Plugin
\Microsoft

除了这些，我们还发现以下文件夹经常被用来隐藏恶意DLL：
C:\Windows\SysWow64是64位Windows版本中的一个文件夹，包含合法的32位系统文件和库，经常被用来隐藏恶意DLL。它的普遍存在使其成为一个吸引人的藏匿地点，增加了检测的复杂性。但是，需要具备权限才能在其中创建文件。

C:\Program Files(x86)文件夹是另一个用于存储恶意COM劫持负载的合法目录。与\AppData\Roaming类似，在这种情况下，我们观察到恶意DLL存储在特定的子文件夹下，例如“\Google”、“\Mozilla Firefox”、“\Microsoft”、“\Common Files”或“\Internet Download Manager”。

C:\Users\<user>\AppData\Local是另一个用于存储这些负载的文件夹，包括“\Temp”、“\Microsoft”和“\Google”子文件夹。

总结：

对于上面COM劫持利用方式，有如下Sigma规则：

https://github.com/SigmaHQ/sigma/blob/master/rules/windows/registry/registry_set/registry_set_persistence_search_order.yml

https://github.com/SigmaHQ/sigma/blob/master/rules/windows/registry/registry_set/registry_set_persistence_com_hijacking_susp_locations.yml

以下是一个示例规则，例如使用vt.behaviour.registry_keys_set修饰符。规则会生成一些噪声，因此建议通过排除某些常见的家族（如Berbew）来进行优化。

import "vt"

rule CLSID_COM_Hijacking:  {
  meta:
    target_entity = "file"
    hash = "a19472bd5dd89a6bd725c94c89469f12cdbfee3b0f19035a07374a005b57b5e0"
    author = "@Joseliyo_Jstnk"
    sigma_authors = "Maxime Thiebaut (@0xThiebaut), oscd.community, Cédric Hien"
    mitre_technique = "T1546.015"
    mitre_tactic = "TA0003"

  condition:
    vt.metadata.new_file and vt.metadata.analysis_stats.malicious >= 5 and 
    for any vt_behaviour_sigma_analysis_results in vt.behaviour.sigma_analysis_results: (
      vt_behaviour_sigma_analysis_results.rule_id == "7f5d257abc981b5eddb52d4a9a02fb66201226935cf3d39177c8a81c3a3e8dd4"
    )
}

参考：

https://blog.virustotal.com/2024/03/com-objects-hijacking.html

https://offsec.almond.consulting/UAC-bypass-dotnet.html

https://www.trendmicro.com/vinfo/sg/threat-encyclopedia/malware/backdoor.msil.nanocore.tiaoodej

https://wbglil.gitbook.io/cobalt-strike/cobalt-strikejiao-ben-bian-xie/comjie-chi-li-yong-jiao-ben-bian-xie

https://www.f-secure.com/v-descs/padodorw.shtml