Cómo los atacantes abusan de COM, el corazón de Windows
Resumen rápido
El Modelo de Objetos de Componentes (COM) es una tecnología central de Windows diseñada para facilitar la comunicación entre procesos y la reutilización de componentes. Su ubicuidad y profunda integración en el sistema operativo lo convierten en un vector atractivo para actores maliciosos. Cisco Talos analiza en detalle cómo las amenazas modernas lo explotan.
COM: de pilar del sistema a herramienta de los atacantes
Desde sus orígenes en los años 90, el Modelo de Objetos de Componentes —conocido por sus siglas en inglés, COM— ha sido una de las piezas más silenciosas pero fundamentales sobre las que se construye Windows. Permite que aplicaciones completamente distintas se comuniquen entre sí, activen objetos de forma remota, automaticen tareas e intercambien funcionalidad sin importar el lenguaje de programación en que estén escritas. Miles de procesos legítimos lo utilizan cada día sin que el usuario sea consciente de ello.
Precisamente esa normalidad es lo que lo hace valioso para los atacantes. Cuando un malware se apoya en COM para ejecutar código, moverse lateralmente o escalar privilegios, su actividad queda fácilmente enmascarada entre el tráfico ordinario del sistema. No levanta las mismas alertas que, por ejemplo, la creación directa de un proceso sospechoso.
¿Qué capacidades ofrece COM a un adversario?
Los investigadores de Cisco Talos destacan varios escenarios en los que COM resulta especialmente útil para las amenazas de Windows:
- Evasión de defensas: Al invocar objetos COM legítimos para ejecutar acciones maliciosas, el atacante delega la actividad en procesos de confianza del sistema, dificultando la atribución y la detección basada en firmas.
- Persistencia y automatización: Ciertos objetos COM permiten programar tareas o manipular el registro de una forma menos visible que las técnicas clásicas de persistencia.
- Movimiento lateral y comunicación entre procesos: COM admite llamadas remotas (DCOM), lo que abre la puerta a propagar la infección a otros equipos de la red sin necesidad de explotar vulnerabilidades adicionales.
- Manipulación de aplicaciones legítimas: Herramientas como Office, el Explorador de Windows o el Programador de tareas exponen interfaces COM que el malware puede invocar para realizar acciones con la apariencia de un usuario normal.
Un vector subestimado en los entornos corporativos
A pesar de su relevancia, COM sigue siendo un vector infravalorado en muchos programas de detección y respuesta. Los equipos de seguridad tienden a centrarse en indicadores más directos —hashes de ficheros, dominios de C2 conocidos, PowerShell ofuscado— y pasan por alto la actividad COM anómala. Talos señala que comprender cómo funciona esta tecnología a nivel técnico es el primer paso para detectar su abuso de forma fiable.
Algunas señales que pueden indicar un uso malicioso incluyen: activaciones de objetos COM inusuales desde procesos que normalmente no los utilizan, modificaciones inesperadas en claves de registro relacionadas con CLSID, o tráfico DCOM hacia equipos que no deberían comunicarse entre sí.
Recomendaciones prácticas
- Auditar el registro COM: Revisar periódicamente las entradas HKCR\CLSID y HKCU\Software\Classes para detectar secuestros de COM (COM hijacking), donde un atacante registra una DLL maliciosa que suplanta a un objeto legítimo.
- Registrar la actividad COM relevante: Habilitar la auditoría de creación de procesos y el registro de eventos de DCOM en el Visor de eventos de Windows proporciona contexto valioso para investigaciones.
- Aplicar el principio de mínimo privilegio: Restringir qué usuarios y procesos pueden activar objetos COM remotos reduce significativamente la superficie de ataque.
- Correlacionar comportamientos, no solo indicadores: Las reglas de correlación que cruzan la activación de objetos COM con otros eventos —como conexiones de red o escritura de ficheros— son más efectivas que las detecciones basadas únicamente en firmas.
¿Estás cubierto en DefensOps?
Aunque el abuso de COM no está asociado a técnicas MITRE específicas en esta cobertura, DefensOps detecta patrones de comportamiento anómalo relacionados con este vector a través de su motor de correlación genérico, disponible desde el plan Essential.
El motor analiza en tiempo real la actividad de procesos, cambios en el registro y comportamientos de comunicación entre procesos para identificar cadenas de eventos que, individualmente, podrían parecer inocuas, pero que en conjunto señalan un posible abuso de COM u otras técnicas de evasión similares.
¿Quieres ver cómo DefensOps correlaciona este tipo de actividad en tu entorno?
👉 Consulta nuestros planes y solicita una demo en la página de precios de DefensOps
Fuente: Cisco Talos — Introduction to COM usage by Windows threats
¿Estás cubierto en DefensOps?
DefensOps detecta esta amenaza desde el plan Essential.
- Cobertura genérica vía motor de correlación · plan Essential
Protege tu organización con DefensOps
SIEM, detección gestionada y respuesta. Descubre cómo cubrimos amenazas como esta.