Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1112
Злоумышленники могут взаимодействовать с реестром Windows, чтобы скрыть информацию о конфигурации в ключах реестра, удалить информацию в процессе очистки или в рамках других методов, способствующих сохранению и выполнению.
Доступ к определенным областям реестра зависит от прав учетной записи, некоторые из них требуют доступа на уровне администратора. Встроенная в Windows утилита командной строки Reg может использоваться для локальной или удаленной модификации реестра. (Цит. по: Microsoft Reg) Могут использоваться и другие инструменты, например инструмент удаленного доступа, который может содержать функциональность для взаимодействия с реестром через Windows API.
Модификации реестра могут также включать действия по скрытию ключей, например добавление к именам ключей нулевого символа, что приведет к ошибке и/или будет проигнорировано при чтении через Reg или другие утилиты, использующие Win32 API. (Цит. по: Microsoft Reghide NOV 2006) Злоумышленники могут использовать эти псевдоскрытые ключи для сокрытия полезной нагрузки/команд, используемых для поддержания постоянства.(Цитата: TrendMicro POWELIKS AUG 2014) (Цитата: SpectorOps Hiding Reg Jul 2017)
Реестр удаленной системы может быть изменен для помощи в выполнении файлов в рамках латерального перемещения. Для этого необходимо, чтобы на целевой системе была запущена служба удаленного реестра.(Цитата: Microsoft Remote) Часто требуются Действительные учетные записи, а также доступ к SMB/Windows Admin Shares удаленной системы для RPC-коммуникаций.
https://attack.mitre.org/techniques/T1112
Визуализация смежных техник для T1112
| № | Техника |
|---|
