Verclsid

对手可能会滥用 verclsid.exe 代理执行恶意代码。Verclsid.exe 被称为扩展 CLSID 验证主机，负责在 Windows 资源管理器或 Windows Shell 使用之前验证每个 shell 扩展。(引用: WinOSBite verclsid.exe) 对手可能会滥用 verclsid.exe 执行恶意有效载荷。这可以通过运行verclsid.exe /S /C {CLSID}来实现，其中文件由类 ID (CLSID) 引用，CLSID 是用于标识 COM 对象的唯一标识号。由 verclsid.exe 执行的 COM 有效载荷可能能够执行各种恶意操作，例如从远程服务器加载和执行 COM 脚本（类似于Regsvr32）。由于二进制文件可能已签名和/或本机存在于 Windows 系统上，通过 verclsid.exe 代理执行可能会绕过未考虑其潜在滥用的应用程序控制解决方案。(引用: LOLBAS Verclsid)(引用: Red Canary Verclsid.exe)(引用: BOHOPS Abusing the COM Registry)(引用: Nick Tyrer GitHub)