# Что может сделать атакующий с доступом в реестр на запись Доступ на запись в реестр предоставляет злоумышленнику огромные возможности для реализации атак. Ниже приведён далеко не полный список действий, которые может выполнить атакующий, сгруппированный по категориям: *** ### **Автозапуск вредоносного ПО** | Действие | Ключ реестра | Пример значения | Описание последствий | | ----------------------------------------------------------------- | ---------------------------------------------------------------------- | ------------------------------------ | --------------------------------------------------------------------------------------------------------------------------------------------------------- | | Запуск вредоносного ПО при входе в систему для всех пользователей | `HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run` | `"Malware"="C:\Path\To\Malware.exe"` | Вредоносное ПО автоматически запускается при каждом входе в систему, что позволяет ему сохранять присутствие в системе. | | Запуск вредоносного ПО при входе текущего пользователя | `HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run` | `"Malware"="C:\Path\To\Malware.exe"` | Вредоносное ПО запускается при входе текущего пользователя, что может быть менее заметно, но все равно позволяет вредоносному ПО выполнять свои действия. | | Запуск вредоносного ПО один раз при входе в систему | `HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce` | `"Malware"="C:\Path\To\Malware.exe"` | Вредоносное ПО запускается один раз при входе в систему, что может быть использовано для установки или обновления вредоносного ПО. | *** ### **Обход защиты и отключение безопасности** | **Действие** | **Путь в реестре** | **Пример значения** | **Последствия** | | ----------------------------------------- | --------------------------------------------------------------------------------------------- | -------------------------------------- | ----------------------------------------------------------------------------------------------------------------------------- | | Отключение Windows Defender | `HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender` | `"DisableAntiSpyware" = 1` | Отключаются защитные модуль Windows Defender, система становится уязвимой для вредоносного ПО. | | Добавление исключений в Windows Defender | `HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions` | `"ExclusionPath"="C:\Path\To\Exclude"` | Позволяет вредоносному ПО избегать обнаружения антивирусом, добавляя исключения для определенных файлов, папок или расширений | | Отключение контроля учетных записей (UAC) | `HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System` | `"EnableLUA" = 0` | Атакующий может выполнять действия с повышенными правами без уведомления. | | Отключение брандмауэра | `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy` | `"EnableFirewall" = 0` | Сетевые атаки становятся возможными без блокировки брандмауэром. | | Отключение журналирования (аудита) | `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa` | `"Audit" = 0` | Действия атакующего не фиксируются в логах. | | Отключение RunAsPPL (защита LSASS) | `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa` | `"RunAsPPL"=dword:00000000` | Отключает защиту LSASS, что позволяет атакующим получать доступ к памяти LSASS и потенциально красть пароли | Этот раздел можно наполнять бесконечно, потому что если какое-то средство защиты Windows можно отключить, то это можно сделать через реестр. *** ### **Создание бэкдоров и закрепление (Persistence)**
ДействиеПуть в реестреПример значенияПоследствия
Создание скрытой учетной записиHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"SpecialAccounts\UserList\<Username>" = 0Атакующий создаёт скрытую учётную запись для доступа к системе.
Установка вредоносного драйвераHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<DriverName>"ImagePath" = "C:\malware.sys"Вредоносный драйвер загружается при старте системы.
Внедрение вредоносного SSPHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa"Security Packages" = "evilssp.dll"Вредоносная библиотека перехватывает учётные данные при аутентификации. Либо позволяет аутентифицировать без пароля или мастер- паролю.
Использование AppInit_DLLs для загрузки вредоносных DLL (устаревшее)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows"AppInit_DLLs"="C:\Path\To\Malware.dll"Загружает вредоносные DLL в каждый запускаемый процесс, который загружает user32.dll, что позволяет получить повышенные привилегии.
Создание службHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services"ImagePath"="C:\Path\To\Malware.exe"Позволяет создавать службы, которые могут запускаться с повышенными привилегиями, обеспечивая постоянное присутствие вредоносного ПО.
Создание запланированных задачHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache"Path"="C:\Path\To\Malware.exe"Позволяет создавать задачи, которые могут выполняться с повышенными привилегиями, что может быть использовано для периодического выполнения вредоносного кода.
*** ### **Запуск ВПО по триггеру** | **Действие** | **Путь в реестре** | **Пример значения** | **Последствия** | | ----------------------------------- | --------------------------------------------------------------------------------------------------------------- | --------------------------------------------- | --------------------------------------------------------------------------------------------------------------------------- | | Перенаправление запуска приложения | `HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\.exe` | `"Debugger" = "C:\malware.exe"` | Позволяет перехватывать выполнение системных процессов, запуская вредоносное ПО вместо них | | Default File Association Modify | `HKEY_CLASSES_ROOT*\shell\open\command` | `"@="="C:\Path\To\Malware.exe %1"` | Изменяет ассоциации файлов, что может быть использовано для запуска вредоносного ПО при открытии определенных типов файлов. | | Подмена легитимных приложений | `HKEY_CLASSES_ROOT\\shell\open\command` | Изменение команды запуска на вредоносный файл | Вредоносное ПО запускается вместо легитимного приложения. | | Модификация экрана заставки Windows | `HKEY_CURRENT_USER\Control Panel\Desktop` | `"SCRNSAVE.EXE"="C:\Path\To\Malware.exe"` | Позволяет запускать вредоносное ПО при активации заставки. | *** Этот список демонстрирует, насколько опасен доступ на запись к реестру. Аналитикам SOC важно отслеживать изменения в ключевых разделах реестра, чтобы своевременно выявлять и предотвращать подобные атаки. Напоминаю, что это Sysmon 12, 13.