# Что может сделать атакующий с доступом в реестр на запись

Доступ на запись в реестр предоставляет злоумышленнику огромные возможности для реализации атак. Ниже приведён далеко не полный список действий, которые может выполнить атакующий, сгруппированный по категориям:

***

### **Автозапуск вредоносного ПО**

| Действие                                                          | Ключ реестра                                                           | Пример значения                      | Описание последствий                                                                                                                                      |
| ----------------------------------------------------------------- | ---------------------------------------------------------------------- | ------------------------------------ | --------------------------------------------------------------------------------------------------------------------------------------------------------- |
| Запуск вредоносного ПО при входе в систему для всех пользователей | `HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run`     | `"Malware"="C:\Path\To\Malware.exe"` | Вредоносное ПО автоматически запускается при каждом входе в систему, что позволяет ему сохранять присутствие в системе.                                   |
| Запуск вредоносного ПО при входе текущего пользователя            | `HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run`      | `"Malware"="C:\Path\To\Malware.exe"` | Вредоносное ПО запускается при входе текущего пользователя, что может быть менее заметно, но все равно позволяет вредоносному ПО выполнять свои действия. |
| Запуск вредоносного ПО один раз при входе в систему               | `HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce` | `"Malware"="C:\Path\To\Malware.exe"` | Вредоносное ПО запускается один раз при входе в систему, что может быть использовано для установки или обновления вредоносного ПО.                        |

***

### **Обход защиты и отключение безопасности**

| **Действие**                              | **Путь в реестре**                                                                            | **Пример значения**                    | **Последствия**                                                                                                               |
| ----------------------------------------- | --------------------------------------------------------------------------------------------- | -------------------------------------- | ----------------------------------------------------------------------------------------------------------------------------- |
| Отключение Windows Defender               | `HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender`                             | `"DisableAntiSpyware" = 1`             | Отключаются защитные модуль Windows Defender, система становится уязвимой для вредоносного ПО.                                |
| Добавление исключений в Windows Defender  | `HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions`                  | `"ExclusionPath"="C:\Path\To\Exclude"` | Позволяет вредоносному ПО избегать обнаружения антивирусом, добавляя исключения для определенных файлов, папок или расширений |
| Отключение контроля учетных записей (UAC) | `HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System`                | `"EnableLUA" = 0`                      | Атакующий может выполнять действия с повышенными правами без уведомления.                                                     |
| Отключение брандмауэра                    | `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy` | `"EnableFirewall" = 0`                 | Сетевые атаки становятся возможными без блокировки брандмауэром.                                                              |
| Отключение журналирования (аудита)        | `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa`                                     | `"Audit" = 0`                          | Действия атакующего не фиксируются в логах.                                                                                   |
| Отключение RunAsPPL (защита LSASS)        | `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa`                                     | `"RunAsPPL"=dword:00000000`            | Отключает защиту LSASS, что позволяет атакующим получать доступ к памяти LSASS и потенциально красть пароли                   |

Этот раздел можно наполнять бесконечно, потому что если какое-то средство защиты Windows можно отключить, то это можно сделать через реестр.&#x20;

***

### **Создание бэкдоров и закрепление (Persistence)**

<table data-header-hidden><thead><tr><th width="187"></th><th></th><th></th><th></th></tr></thead><tbody><tr><td><strong>Действие</strong></td><td><strong>Путь в реестре</strong></td><td><strong>Пример значения</strong></td><td><strong>Последствия</strong></td></tr><tr><td>Создание скрытой учетной записи</td><td><code>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon</code></td><td><code>"SpecialAccounts\UserList\&#x3C;Username>" = 0</code></td><td>Атакующий создаёт скрытую учётную запись для доступа к системе.</td></tr><tr><td>Установка вредоносного драйвера</td><td><code>HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\&#x3C;DriverName></code></td><td><code>"ImagePath" = "C:\malware.sys"</code></td><td>Вредоносный драйвер загружается при старте системы.</td></tr><tr><td>Внедрение вредоносного SSP</td><td><code>HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa</code></td><td><code>"Security Packages" = "evilssp.dll"</code></td><td>Вредоносная библиотека перехватывает учётные данные при аутентификации. Либо позволяет аутентифицировать без пароля или мастер- паролю. </td></tr><tr><td>Использование AppInit_DLLs для загрузки вредоносных DLL (устаревшее)</td><td><code>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows</code></td><td><code>"AppInit_DLLs"="C:\Path\To\Malware.dll"</code></td><td>Загружает вредоносные DLL в каждый запускаемый процесс, который загружает user32.dll, что позволяет получить повышенные привилегии.</td></tr><tr><td>Создание служб</td><td><code>HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services</code></td><td><code>"ImagePath"="C:\Path\To\Malware.exe"</code></td><td>Позволяет создавать службы, которые могут запускаться с повышенными привилегиями, обеспечивая постоянное присутствие вредоносного ПО.</td></tr><tr><td>Создание запланированных задач</td><td><code>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache</code></td><td><code>"Path"="C:\Path\To\Malware.exe"</code></td><td>Позволяет создавать задачи, которые могут выполняться с повышенными привилегиями, что может быть использовано для периодического выполнения вредоносного кода.</td></tr></tbody></table>

***

### **Запуск ВПО по триггеру**

| **Действие**                        | **Путь в реестре**                                                                                              | **Пример значения**                           | **Последствия**                                                                                                             |
| ----------------------------------- | --------------------------------------------------------------------------------------------------------------- | --------------------------------------------- | --------------------------------------------------------------------------------------------------------------------------- |
| Перенаправление запуска приложения  | `HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<executable>.exe` | `"Debugger" = "C:\malware.exe"`               | Позволяет перехватывать выполнение системных процессов, запуская вредоносное ПО вместо них                                  |
| Default File Association Modify     | `HKEY_CLASSES_ROOT*\shell\open\command`                                                                         | `"@="="C:\Path\To\Malware.exe %1"`            | Изменяет ассоциации файлов, что может быть использовано для запуска вредоносного ПО при открытии определенных типов файлов. |
| Подмена легитимных приложений       | `HKEY_CLASSES_ROOT\<FileType>\shell\open\command`                                                               | Изменение команды запуска на вредоносный файл | Вредоносное ПО запускается вместо легитимного приложения.                                                                   |
| Модификация экрана заставки Windows | `HKEY_CURRENT_USER\Control Panel\Desktop`                                                                       | `"SCRNSAVE.EXE"="C:\Path\To\Malware.exe"`     | Позволяет запускать вредоносное ПО при активации заставки.                                                                  |

***

Этот список демонстрирует, насколько опасен доступ на запись к реестру. Аналитикам SOC важно отслеживать изменения в ключевых разделах реестра, чтобы своевременно выявлять и предотвращать подобные атаки.

Напоминаю, что это Sysmon 12, 13.&#x20;


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://vasilisa-l.gitbook.io/blue-team-cookbook/windows/registry/chto-mozhet-sdelat-atakuyushii-s-dostupom-v-reestr-na-zapis.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.