det0224-detect-abuse-of-component-object-model-t1559001

# DET0224 — Detect Abuse of Component Object Model (T1559.001) ## Descrição Esta estratégia cobre a detecção de abuso do Component Object Model (COM) do Windows para execução de código arbitrário, persistência e bypass de controles de segurança. Adversários registram ou substituem CLSIDs COM para redirecionar chamadas legítimas a objetos maliciosos, ou usam COM para invocar funcionalidades de sistema que normalmente requerem privilégios elevados. Técnicas comuns incluem COM hijacking via substituição de chaves HKCU (sem necessidade de privilégio admin), uso de `IDispatch` para executar scripts remotamente, e ativação de objetos COM out-of-process como mecanismo de evasão de AMSI/ETW. O monitoramento de registro de novos CLSIDs e de ativações de objetos COM em contextos incomuns é central nesta estratégia. A telemetria requerida inclui ETW providers para ativação COM (`Microsoft-Windows-COM-Perf`), Sysmon Event ID 12/13/14 para modificações de registro em chaves COM, e Process Monitor para rastrear acesso a CLSID keys em HKCU. ## Indicadores de Detecção - Registro de novo CLSID em `HKCU\Software\Classes\CLSID\` sobrepondo entrada existente em HKLM - `dllhost.exe` (surrogaté COM) gerando processos filhos ou realizando conexões de rede - Ativação de objeto COM de DLL em caminho de usuário (`%APPDATA%`, `%TEMP%`) - Chamadas `CoCreateInstance` para CLSIDs não documentados ou registrados recentemente - Objetos COM sendo usados para persistência via `HKCU\Software\Classes\*\ShellEx` - Linha de comando `rundll32.exe` invocando CLSID diretamente (`rundll32.exe -sta {CLSID}`) ## Técnicas Relacionadas - [[T1559.001-com-component-object-model|T1559.001 — Component Object Model]] - [[T1546.015-com-hijacking|T1546.015 — COM Hijacking]] - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1112-modify-registry|T1112 — Modify Registry]] ## Analytics Relacionadas - [[an0628-analytic-0628|AN0628 — Analytic 0628]] --- *Fonte: [MITRE ATT&CK — DET0224](https://attack.mitre.org/detectionstrategies/DET0224)*