组件对象模型

对手可能会使用 Windows 组件对象模型 (COM) 进行本地代码执行。COM 是本机 Windows 应用程序编程接口 (API) 的进程间通信 (IPC) 组件，使软件对象之间能够进行交互，或实现一个或多个接口的可执行代码。(引用: Fireeye Hunting COM June 2019) 通过 COM，客户端对象可以调用服务器对象的方法，服务器对象通常是二进制动态链接库 (DLL) 或可执行文件 (EXE)。(引用: Microsoft COM) 远程 COM 执行通过远程服务（如分布式组件对象模型 (DCOM)）实现。(引用: Fireeye Hunting COM June 2019) 暴露了各种 COM 接口，可以通过多种编程语言（如 C、C++、Java 和Visual Basic）滥用以调用任意执行。(引用: Microsoft COM) 还存在特定的 COM 对象，可以直接执行超出代码执行的功能，例如创建计划任务/作业、无文件下载/执行以及与权限提升和持久性相关的其他对手行为。(引用: Fireeye Hunting COM June 2019)(引用: ProjectZero File Write EoP Apr 2018)