COM组件劫持重定向(COM Component Hijacking Redirection)是通过篡改Windows组件对象模型(COM)注册表项,将合法组件的调用请求重定向至恶意实现的攻击技术。攻击者利用COM组件的延迟加载特性,在注册表中替换CLSID对应的DLL路径或劫持ProgID解析链,使得系统或应用程序在调用标准功能时实际加载并执行恶意代码。该技术通过继承调用者的权限上下文和数字签名状态,实现恶意行为的白名单化运行。
该技术的隐蔽性源于系统组件的信任链继承与调用链混淆。通过劫持具有微软数字签名的COM组件入口点,恶意代码获得与合法组件相同的安全凭证,规避基于代码签名的检测机制。在通信层面,利用COM远程过程调用(RPC)通道的加密特性,将C2指令封装在DCOM网络协议中,实现通信内容的端到端加密。技术实现需解决组件兼容性适配、注册表键值隐蔽修改、异常处理伪装等问题,典型应用包括通过劫持MMC管理单元组件实现权限提升后的隐蔽横向移动。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon