[img][/img]
Windows 分布式组件对象模型(DCOM)是一种透明的中间件,它使用远程过程调用(RPC)技术将组件对象模型(COM)的功能扩展到本地计算机之外。COM 是支持软件对象之间交互的 Windows 应用程序编程接口(API)的组件。通过COM,客户机对象可以调用服务器对象的方法,这些对象通常是动态链接库(dll)或可执行文件(exe)
与本地和远程服务器 COM 对象交互的权限由访问控制列表(ACL)在注册表中决定。默认情况下,只有管理员可以通过 DCOM 远程激活和启动 COM 对象。
攻击者可使用 DCOM 进行横向移动,通过 DCOM,攻击者可在拥有适当权限的情况下通过 Office 应用程序以及包含不安全方法的其他 Windows 对象远程获取任意甚至直接的 shellcode 执行。
在本篇文章中,我们将主要关注与以下两个 COM 对象的使用相关的关键检测指标: