Что может сделать атакующий с доступом в реестр на запись
Доступ на запись в реестр предоставляет злоумышленнику огромные возможности для реализации атак. Ниже приведён далеко не полный список действий, которые может выполнить атакующий, сгруппированный по категориям:
Автозапуск вредоносного ПО
Запуск вредоносного ПО при входе в систему для всех пользователей
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Malware"="C:\Path\To\Malware.exe"
Вредоносное ПО автоматически запускается при каждом входе в систему, что позволяет ему сохранять присутствие в системе.
Запуск вредоносного ПО при входе текущего пользователя
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"Malware"="C:\Path\To\Malware.exe"
Вредоносное ПО запускается при входе текущего пользователя, что может быть менее заметно, но все равно позволяет вредоносному ПО выполнять свои действия.
Запуск вредоносного ПО один раз при входе в систему
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
"Malware"="C:\Path\To\Malware.exe"
Вредоносное ПО запускается один раз при входе в систему, что может быть использовано для установки или обновления вредоносного ПО.
Обход защиты и отключение безопасности
Действие
Путь в реестре
Пример значения
Последствия
Отключение Windows Defender
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
"DisableAntiSpyware" = 1
Отключаются защитные модуль Windows Defender, система становится уязвимой для вредоносного ПО.
Добавление исключений в Windows Defender
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions
"ExclusionPath"="C:\Path\To\Exclude"
Позволяет вредоносному ПО избегать обнаружения антивирусом, добавляя исключения для определенных файлов, папок или расширений
Отключение контроля учетных записей (UAC)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
"EnableLUA" = 0
Атакующий может выполнять действия с повышенными правами без уведомления.
Отключение брандмауэра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy
"EnableFirewall" = 0
Сетевые атаки становятся возможными без блокировки брандмауэром.
Отключение журналирования (аудита)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
"Audit" = 0
Действия атакующего не фиксируются в логах.
Отключение RunAsPPL (защита LSASS)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
"RunAsPPL"=dword:00000000
Отключает защиту LSASS, что позволяет атакующим получать доступ к памяти LSASS и потенциально красть пароли
Этот раздел можно наполнять бесконечно, потому что если какое-то средство защиты Windows можно отключить, то это можно сделать через реестр.
Создание бэкдоров и закрепление (Persistence)
Действие
Путь в реестре
Пример значения
Последствия
Создание скрытой учетной записи
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"SpecialAccounts\UserList\<Username>" = 0
Атакующий создаёт скрытую учётную запись для доступа к системе.
Установка вредоносного драйвера
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<DriverName>
"ImagePath" = "C:\malware.sys"
Вредоносный драйвер загружается при старте системы.
Внедрение вредоносного SSP
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
"Security Packages" = "evilssp.dll"
Вредоносная библиотека перехватывает учётные данные при аутентификации. Либо позволяет аутентифицировать без пароля или мастер- паролю.
Использование AppInit_DLLs для загрузки вредоносных DLL (устаревшее)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
"AppInit_DLLs"="C:\Path\To\Malware.dll"
Загружает вредоносные DLL в каждый запускаемый процесс, который загружает user32.dll, что позволяет получить повышенные привилегии.
Создание служб
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
"ImagePath"="C:\Path\To\Malware.exe"
Позволяет создавать службы, которые могут запускаться с повышенными привилегиями, обеспечивая постоянное присутствие вредоносного ПО.
Создание запланированных задач
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache
"Path"="C:\Path\To\Malware.exe"
Позволяет создавать задачи, которые могут выполняться с повышенными привилегиями, что может быть использовано для периодического выполнения вредоносного кода.
Запуск ВПО по триггеру
Действие
Путь в реестре
Пример значения
Последствия
Перенаправление запуска приложения
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<executable>.exe
"Debugger" = "C:\malware.exe"
Позволяет перехватывать выполнение системных процессов, запуская вредоносное ПО вместо них
Default File Association Modify
HKEY_CLASSES_ROOT*\shell\open\command
"@="="C:\Path\To\Malware.exe %1"
Изменяет ассоциации файлов, что может быть использовано для запуска вредоносного ПО при открытии определенных типов файлов.
Подмена легитимных приложений
HKEY_CLASSES_ROOT\<FileType>\shell\open\command
Изменение команды запуска на вредоносный файл
Вредоносное ПО запускается вместо легитимного приложения.
Модификация экрана заставки Windows
HKEY_CURRENT_USER\Control Panel\Desktop
"SCRNSAVE.EXE"="C:\Path\To\Malware.exe"
Позволяет запускать вредоносное ПО при активации заставки.
Этот список демонстрирует, насколько опасен доступ на запись к реестру. Аналитикам SOC важно отслеживать изменения в ключевых разделах реестра, чтобы своевременно выявлять и предотвращать подобные атаки.
Напоминаю, что это Sysmon 12, 13.
Last updated
Was this helpful?