det0481-windows-com-hijacking-detection-via-registry-and-dll-load-correlation

# DET0481 — Windows COM Hijacking Detection via Registry and DLL Load Correlation ## Descrição O sequestro de objetos COM (Component Object Model) é uma técnica de persistência e escalada de privilégios que explora o mecanismo de resolução de CLSIDs no registro do Windows. Adversários registram entradas maliciosas em `HKCU\Software\Classes\CLSID\` para sobrescrever referências a objetos COM legítimos, fazendo com que processos que invocam esses objetos carreguem DLLs controladas pelo atacante sem exigir privilégios administrativos. Essa técnica é mapeada como [[T1546.015-event-triggered-execution-component-object-model-hijacking|T1546.015]] no MITRE ATT&CK. A estratégia de detecção correlaciona eventos de modificação do registro (Event ID 13 do Sysmon) em chaves CLSID do hive do usuário com o subsequente carregamento de DLLs a partir de caminhos fora dos diretórios do sistema Windows. A correlação temporal entre a criação da chave de registro e o primeiro carregamento da DLL maliciosa é um indicador de alta fidelidade. Grupos APT utilizam COM hijacking como mecanismo de persistência resiliente porque as entradas em `HKCU` sobrevivem a reimplantações de políticas de grupo. O monitoramento eficaz requer visibilidade em eventos de carregamento de módulos (Sysmon Event ID 7) correlacionados com eventos de modificação do registro. Listas de CLSIDs conhecidos e seus caminhos legítimos permitem identificar desvios com baixa taxa de falsos positivos. ## Indicadores de Detecção - Criação de chave `HKCU\Software\Classes\CLSID\{GUID}\InprocServer32` com caminho para DLL em diretório de usuário - DLL carregada a partir de `%APPDATA%`, `%TEMP%` ou `%USERPROFILE%` por processo que invoca objeto COM legítimo - CLSID presente em `HKCU` sobrescrevendo entrada existente em `HKLM` (shadow key) - Processo de alta integridade carregando DLL recém-criada registrada via COM no contexto de usuário - Múltiplas chaves CLSID criadas em curto intervalo de tempo sob o hive do usuário - DLL COM registrada sem entrada de assinatura digital válida ou certificado revogado - Objeto COM invocado por scheduled task ou processo de inicialização apontando para caminho incomum ## Técnicas Relacionadas - [[T1546.015-event-triggered-execution-component-object-model-hijacking|T1546.015 — COM Object Hijacking]] - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1055-process-injection|T1055 — Process Injection]] ## Analytics Relacionadas - [[an1323-analytic-1323|AN1323 — Analytic 1323]] --- *Fonte: [MITRE ATT&CK — DET0481](https://attack.mitre.org/detectionstrategies/DET0481)*