Component Object Model: Sfruttare COM per Eseguire Codice (T1559.001)

Per comprendere come gli attaccanti sfruttano COM, iniziamo con l'abuso più comune: l'utilizzo di oggetti COM per bypassare UAC. Il malware Gelsemium usa l'interfaccia IARPUinstallerStringLauncher per questo scopo.

Puoi replicare un bypass UAC base usando PowerShell:

$comObject = New-Object -ComObject "Shell.Application"
$comObject.ShellExecute("cmd.exe", "/c calc.exe", "", "runas", 0)

Un approccio più sofisticato coinvolge la creazione di task schedulati attraverso COM, tecnica utilizzata da InvisiMole e Milan. L'interfaccia ITaskService permette di creare task senza utilizzare schtasks.exe:

$TaskService = New-Object -ComObject Schedule.Service
$TaskService.Connect()
$RootFolder = $TaskService.GetFolder("\")
$TaskDefinition = $TaskService.NewTask(0)
$TaskDefinition.RegistrationInfo.Description = "Test COM Persistence"
$TaskDefinition.Settings.Enabled = $true
$TaskDefinition.Settings.AllowDemandStart = $true

Per simulare l'esecuzione remota tramite DCOM come fa HermeticWizard, puoi utilizzare WMI attraverso COM. Questo approccio permette l'esecuzione su macchine remote:

$remoteComputer = "192.168.1.100"
$wmis = [System.Runtime.InteropServices.Marshal]::GetActiveObject("winmgmts:\\$remoteComputer\root\cimv2")
$process = $wmis.Get("Win32_Process")
$result = $process.Create("calc.exe")

Gli attaccanti più sofisticati come Gamaredon Group manipolano documenti Office attraverso COM. Per testare questa tecnica in laboratorio:

$excel = New-Object -ComObject Excel.Application
$excel.Visible = $false
$workbook = $excel.Workbooks.Add()
$worksheet = $workbook.Worksheets.Item(1)
# Inserimento di macro malevola simulata

La detection di abusi COM richiede correlazione tra eventi multipli. Il pattern principale da monitorare è l'esecuzione anomala di dllhost.exe con parametri sospetti, indicatore chiave dell'attivazione di oggetti COM.

Configura il monitoraggio Sysmon per catturare:

• EventID 1 (Process Creation): processi che caricano ole32.dll o oleaut32.dll in contesti inusuali
• EventID 7 (Image Load): DLL caricate attraverso meccanismi COM
• EventID 12 (Registry Object Create): accessi a chiavi HKCR\CLSID durante l'esecuzione

Un alert efficace deve correlare la creazione di processi Office con il caricamento immediato di scripting engine. SILENTTRINITY e Gamaredon seguono questo pattern quando iniettano shellcode in Excel.exe attraverso Microsoft.Office.Interop.

Per ridurre i falsi positivi, implementa una allowlist dei CLSID legittimi utilizzati nell'ambiente. Monitora specificamente:

• rundll32.exe che esegue con parametri contenenti CLSID
• dllhost.exe lanciato con ProcessCommandLine contenente /Processid:{GUID}
• Processi Office che generano figli con interpreti di script

L'approccio comportamentale più efficace combina il monitoraggio di:

1. Query registry verso HKEY_CLASSES_ROOT\CLSID seguite da process creation entro 5 secondi
2. Caricamento di DLL non firmate attraverso meccanismi COM
3. Esecuzione di mshta.exe o wscript.exe come processo figlio di applicazioni COM

Per DCOM remoto, monitora le connessioni RPC sulla porta 135 correlate con l'esecuzione di nuovi processi sul sistema target.

L'analisi forense di attacchi COM inizia dall'esaminare le chiavi registry che tracciano l'attivazione degli oggetti. Ogni istanza COM lascia tracce in HKEY_CLASSES_ROOT\CLSID e nei log di sistema.

Gli artefatti principali da recuperare includono:

• C:\Windows\Prefetch\DLLHOST.EXE-*.pf: traccia le esecuzioni di COM host
• Event Log Security 4688: process creation con CommandLine contenente CLSID
• HKEY_CURRENT_USER\Software\Classes\CLSID: oggetti COM registrati per-user

Raspberry Robin crea un oggetto COM elevato per CMLuaUtil, lasciando tracce distintive nel registry. Cerca modifiche a:

HKLM\SOFTWARE\Classes\Elevation\Handlers\{GUID}
HKCU\Software\Classes\CLSID\{GUID}\InprocServer32

Per ricostruire l'attività di Bumblebee, che usa COM per query di sistema, analizza i Windows Application Experience logs. Il malware lascia pattern di accesso sequenziale a multiple interfacce COM per enumerazione.

La timeline di un attacco TrickBot mostra:

1. Creazione oggetto Schedule.Service (timestamp in Prefetch)
2. Modifica registry per task persistence (USN Journal)
3. Esecuzione schedulata del payload (Task Scheduler logs)

Gli artefatti di esecuzione remota DCOM sono tracciabili attraverso:

• DCOM logs (Applications and Services Logs\Microsoft\Windows\DistributedCOM)
• Network connections su porta 135 (correlate con process creation remota)
• WMI Activity logs per esecuzioni attraverso WMI/COM

Per Latrodectus, che sfrutta COM per task scheduling, la sequenza forense mostra accessi registry a TaskCache\Tasks immediatamente dopo l'attivazione COM.

Gamaredon Group rappresenta il profilo più interessante nell'uso di COM. Questo gruppo russo targetta principalmente l'Ucraina, integrando COM manipulation nelle loro catene di infezione basate su macro Office. Il loro approccio distintivo utilizza Microsoft.Office.Interop per iniettare macro malevole post-compromissione.

MuddyWater, attivo in Medio Oriente, dimostra capacità più avanzate. Il gruppo iraniano combina COM, DCOM e automazione Outlook per movimento laterale e persistenza. La loro infrastruttura suggerisce evoluzione verso l'uso di COM per comunicazioni C2 alternative.

Medusa Group si distingue per l'uso tattico di COM nel privilege escalation. Il loro focus su bypass UAC attraverso interfacce COM indica targeting di ambienti con utenti non privilegiati, suggerendo operazioni contro workstation aziendali piuttosto che server.

L'analisi delle famiglie malware mostra convergenza tecnologica. POWERSTATS, HermeticWizard e SILENTTRINITY condividono pattern DCOM per esecuzione remota, indicando possibile condivisione di codice o sviluppatori comuni nel cybercrime underground.

I trend emergenti includono:

• Shift verso COM objects meno conosciuti per evasione
• Integrazione con Living off the Land techniques
• Uso di COM per aggirare EDR che monitora processi tradizionali

La geografia degli attacchi COM correla con conflitti geopolitici. Gamaredon (Russia→Ucraina), MuddyWater (Iran→Arabia Saudita) usano COM in campagne state-sponsored. I criminal groups preferiscono COM per banking trojan come Ursnif e TrickBot.

Framework MITRE ATT&CK T1559.001. Analisi basata su intelligence di Gamaredon Group, MuddyWater e 17 famiglie malware documentate. Detection patterns da COMObjectAllowList e correlazione eventi Sysmon/Security logs Windows.