det0285-multi-event-behavioral-detection-for-dcom-based-remote-code-execution

# DET0285 — Multi-Event Behavioral Detection for DCOM-Based Remote Code Execution ## Descrição Esta estratégia detecta execução remota de código via Distributed Component Object Model (DCOM), uma técnica de movimento lateral que abusa de interfaces COM legítimas do Windows para executar comandos em sistemas remotos sem necessidade de ferramentas externas. Classes DCOM como `ShellWindows`, `ShellBrowserWindow` e `MMC20.Application` são frequentemente exploradas por adversários em redes corporativas. A abordagem multi-evento correlaciona: autenticação NTLM/Kerberos com sessão de rede para porta 135/TCP (endpoint mapper), seguida de criação de processo filho em sistema remoto com ancestralidade de `svchost.exe` ou `dllhost.exe`, e subsequente atividade de rede ou filesystem. O evento Windows 4688 (criação de processo) combinado com logs de autenticação (4624) e conexões de rede é a base da correlação. DCOM é especialmente difícil de detectar porque usa conexões de rede legítimas e processos do sistema como vetores. [[s0154-cobalt-strike|Cobalt Strike]] e [[s0357-impacket|Impacket]] incluem módulos DCOM para movimento lateral. A correlação temporal entre autenticação remota e spawn de processo filho é o sinal de alta fidelidade desta estratégia. ## Indicadores de Detecção - Conexão de entrada na porta 135/TCP seguida de criação de processo filho de `dllhost.exe` com argumentos `/Processid:{CLSID}` - Processo filho de `mmc.exe` ou `explorer.exe` criado remotamente via DCOM com linha de comando suspeita - Autenticação de rede (Event 4624 tipo 3) seguida em < 30 segundos por processo remoto via DCOM - Uso de classes DCOM não-habituais: `MMC20.Application`, `ShellWindows`, `ShellBrowserWindow` - Processo remoto DCOM iniciando conexão de saída para IP externo - `dllhost.exe` com múltiplas instâncias executando em curto período em host não servidor COM ## Técnicas Relacionadas - [[t1021-remote-services|T1021 — Remote Services]] - [[T1175-dcom|T1175 — Distributed Component Object Model]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] ## Analytics Relacionadas - [[an0791-analytic-0791|AN0791 — Analytic 0791]] --- *Fonte: [MITRE ATT&CK — DET0285](https://attack.mitre.org/detectionstrategies/DET0285)*