📘
Blue Team Cookbook
russian
russian
  • Blue Team Cookbook
  • SOC теория
    • Матрица MITRE ATT&CK, Cyber Kill Chain, UKC
    • Логи: что собирать и откуда, чтобы эффективно обнаруживать атаки
      • Что подключать полезно, а что не очень
      • Приоритезация для подключения в SIEM
    • Разработка правил обнаружения атак
      • Инструменты создания правил
      • 10 правил SIEM, с которых надо начать
  • Windows
    • Средства мониторинга Windows
      • Стандартный аудит Windows
      • Расширенный аудит Windows
      • Логирование PowerShell
      • Логирование командной строки
      • Sysmon
    • [Cheat Sheet] ТОП-10 событий для мониторинга
      • Event ID 4697, 7045. Службы Windows
      • Event ID 4624. Парные сессии, уровень целостности и UAC
    • Процесс LSASS и его секреты
    • NTLM-хеши
    • Реестр Windows: ключ к системе
      • Что может сделать атакующий с доступом в реестр на запись
    • LPE и семья картошек
  • Active Directory
    • Служба каталогов
      • [Cheat Sheet] Интересные атрибуты LDAP
    • Kerberos
    • Захват домена: NTDS.dit, DCSync, DCShadow
  • UNIX
    • Аудит Unix
      • Auditd
      • Системные вызовы Unix
  • WEB
    • HTTP
      • Как работает авторизация в WEB-приложениях
    • [Cheat Sheet] Заголовки для защиты сайта
  • Other
    • Cheat Sheets
    • Полезные ссылки и ресурсы
Powered by GitBook
On this page
  • Автозапуск вредоносного ПО
  • Обход защиты и отключение безопасности
  • Создание бэкдоров и закрепление (Persistence)
  • Запуск ВПО по триггеру
Edit on GitHub
  1. Windows
  2. Реестр Windows: ключ к системе

Что может сделать атакующий с доступом в реестр на запись

Доступ на запись в реестр предоставляет злоумышленнику огромные возможности для реализации атак. Ниже приведён далеко не полный список действий, которые может выполнить атакующий, сгруппированный по категориям:

Автозапуск вредоносного ПО

Действие
Ключ реестра
Пример значения
Описание последствий

Запуск вредоносного ПО при входе в систему для всех пользователей

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"Malware"="C:\Path\To\Malware.exe"

Вредоносное ПО автоматически запускается при каждом входе в систему, что позволяет ему сохранять присутствие в системе.

Запуск вредоносного ПО при входе текущего пользователя

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

"Malware"="C:\Path\To\Malware.exe"

Вредоносное ПО запускается при входе текущего пользователя, что может быть менее заметно, но все равно позволяет вредоносному ПО выполнять свои действия.

Запуск вредоносного ПО один раз при входе в систему

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

"Malware"="C:\Path\To\Malware.exe"

Вредоносное ПО запускается один раз при входе в систему, что может быть использовано для установки или обновления вредоносного ПО.

Обход защиты и отключение безопасности

Действие

Путь в реестре

Пример значения

Последствия

Отключение Windows Defender

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender

"DisableAntiSpyware" = 1

Отключаются защитные модуль Windows Defender, система становится уязвимой для вредоносного ПО.

Добавление исключений в Windows Defender

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions

"ExclusionPath"="C:\Path\To\Exclude"

Позволяет вредоносному ПО избегать обнаружения антивирусом, добавляя исключения для определенных файлов, папок или расширений

Отключение контроля учетных записей (UAC)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

"EnableLUA" = 0

Атакующий может выполнять действия с повышенными правами без уведомления.

Отключение брандмауэра

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy

"EnableFirewall" = 0

Сетевые атаки становятся возможными без блокировки брандмауэром.

Отключение журналирования (аудита)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

"Audit" = 0

Действия атакующего не фиксируются в логах.

Отключение RunAsPPL (защита LSASS)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

"RunAsPPL"=dword:00000000

Отключает защиту LSASS, что позволяет атакующим получать доступ к памяти LSASS и потенциально красть пароли

Этот раздел можно наполнять бесконечно, потому что если какое-то средство защиты Windows можно отключить, то это можно сделать через реестр.

Создание бэкдоров и закрепление (Persistence)

Действие

Путь в реестре

Пример значения

Последствия

Создание скрытой учетной записи

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

"SpecialAccounts\UserList\<Username>" = 0

Атакующий создаёт скрытую учётную запись для доступа к системе.

Установка вредоносного драйвера

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<DriverName>

"ImagePath" = "C:\malware.sys"

Вредоносный драйвер загружается при старте системы.

Внедрение вредоносного SSP

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

"Security Packages" = "evilssp.dll"

Вредоносная библиотека перехватывает учётные данные при аутентификации. Либо позволяет аутентифицировать без пароля или мастер- паролю.

Использование AppInit_DLLs для загрузки вредоносных DLL (устаревшее)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

"AppInit_DLLs"="C:\Path\To\Malware.dll"

Загружает вредоносные DLL в каждый запускаемый процесс, который загружает user32.dll, что позволяет получить повышенные привилегии.

Создание служб

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

"ImagePath"="C:\Path\To\Malware.exe"

Позволяет создавать службы, которые могут запускаться с повышенными привилегиями, обеспечивая постоянное присутствие вредоносного ПО.

Создание запланированных задач

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache

"Path"="C:\Path\To\Malware.exe"

Позволяет создавать задачи, которые могут выполняться с повышенными привилегиями, что может быть использовано для периодического выполнения вредоносного кода.

Запуск ВПО по триггеру

Действие

Путь в реестре

Пример значения

Последствия

Перенаправление запуска приложения

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<executable>.exe

"Debugger" = "C:\malware.exe"

Позволяет перехватывать выполнение системных процессов, запуская вредоносное ПО вместо них

Default File Association Modify

HKEY_CLASSES_ROOT*\shell\open\command

"@="="C:\Path\To\Malware.exe %1"

Изменяет ассоциации файлов, что может быть использовано для запуска вредоносного ПО при открытии определенных типов файлов.

Подмена легитимных приложений

HKEY_CLASSES_ROOT\<FileType>\shell\open\command

Изменение команды запуска на вредоносный файл

Вредоносное ПО запускается вместо легитимного приложения.

Модификация экрана заставки Windows

HKEY_CURRENT_USER\Control Panel\Desktop

"SCRNSAVE.EXE"="C:\Path\To\Malware.exe"

Позволяет запускать вредоносное ПО при активации заставки.

Этот список демонстрирует, насколько опасен доступ на запись к реестру. Аналитикам SOC важно отслеживать изменения в ключевых разделах реестра, чтобы своевременно выявлять и предотвращать подобные атаки.

Напоминаю, что это Sysmon 12, 13.

PreviousРеестр Windows: ключ к системеNextLPE и семья картошек

Last updated 1 month ago