jordiserrano.meClickFixKAIROSIntelTracker
Panel de inteligencia » Component Object Model

Component Object Model

Threat-actor 2 min lectura attack-pattern
Fecha
26 May 2026
Actor
attack-pattern
Tipo
Threat-actor
Pais
United States
Sector
-
Confianza
medium

Key Points

  • Cargar bibliotecas maliciosas en memoria.
  • Utilizar interfaces legítimas para ocultar la ejecución de código dañino.
  • Producir comportamientos anómalos en sistemas Windows que no se detectan con herramientas convencionales.
  • Objetos no registrados o maliciosos en registries de Windows.
  • Llamadas a métodos de interfaces que no corresponden al propósito original.

Component Object Model

Descripción de la Tecnica

Component Object Model (COM) es un mecanismo nativo en Windows que permite la comunicación entre objetos y servicios a través de interfaces definidas por el programador. Este modelo de componentes se utiliza para interactuar con bibliotecas dinámicas (DLL) o ejecutables (EXE), permitiendo a los atacantes aprovechar su capacidad de ejecutar código local en sistemas Windows.

Según la MITRE ATT&CK, este patrón se relaciona con la técnica T1559.001 (Local Code Execution), donde los adversarios usan COM para crear objetos que, al ser llamados, ejecutan código malicioso en el contexto del sistema.

Citaciones relevantes incluyen un análisis de Fireeye sobre la detección de COM en 2019 y la definición técnica proporcionada por MITRE.

Como Funciona

COM permite que un objeto cliente (cliente) interactúe con objetos servidor (servidor) mediante interfaces definidas. Estos servidores suelen ser DLLs o EXEs que implementan funcionalidades específicas. Al aprovechar este mecanismo, los atacantes pueden:

  • Cargar bibliotecas maliciosas en memoria.
  • Utilizar interfaces legítimas para ocultar la ejecución de código dañino.
  • Producir comportamientos anómalos en sistemas Windows que no se detectan con herramientas convencionales.

Actores que la Utilizan

Esta técnica es utilizada por múltiples actores adversarios, incluyendo grupos cibernéticos y amenazas de alto nivel. No se especifican actores particulares en el contexto proporcionado, pero se asocia con ataques de tipo zero-day o exploit de vulnerabilidades relacionadas con COM.

Detección

La detección de este patrón requiere monitoreo de comportamientos anómalos en el uso de COM, como:

  • Objetos no registrados o maliciosos en registries de Windows.
  • Llamadas a métodos de interfaces que no corresponden al propósito original.
  • Uso de DLLs o EXE sin firma digital o con firmas inusuales.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso públicos disponibles.

Mitigación

Las medidas de mitigación incluyen:

  • Actualización constante de sistemas operativos y componentes Windows para cerrar vulnerabilidades conocidas.
  • Monitoreo de objetos COM mediante herramientas como Windows Security Center o soluciones EDR (End-Point Detection and Response).
  • Control de permisos en la carga de DLLs y ejecutables, limitando accesos a sistemas críticos.
  • Revisión de registros para identificar actividades no normales en el uso de interfaces COM.
← Volver al panel de inteligencia

Incidentes recientes

Clínica Vida12 Jun 2026 · direwolf Jewelex12 Jun 2026 · direwolf Nueva Pescanova Group12 Jun 2026 · direwolf Did Asia12 Jun 2026 · direwolf CCS GLOBAL TECH12 Jun 2026 · bravox University of Nottingham11 Jun 2026 · breach Notice11 Jun 2026 · shinyhunters Bitek System11 Jun 2026 · qilin