Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1547.001 - Ключи запуска реестра / папка запуска

Примеры обнаружения с помощью продуктов "Кода Безопасности":

Техники:  T1547 , T1547.001 , T1547.002 , T1547.003 , T1547.004 , T1547.005 , T1547.006 , T1547.007 , T1547.008 , T1547.009 , T1547.010 , T1547.012 , T1547.013 , T1547.014 , T1547.015

Злоумышленники могут добиться стойкости, добавив программу в папку запуска или указав на нее ссылку с помощью ключа выполнения в реестре. Добавление записи в "ключи запуска" в реестре или папке запуска приведет к тому, что программа, на которую ссылаются, будет выполняться при входе пользователя в систему.(Цитата: Microsoft Run Key) Эти программы будут выполняться в контексте пользователя и иметь соответствующий учетной записи уровень разрешений.

По умолчанию в системах Windows создаются следующие ключи запуска:

* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

Ключи запуска могут существовать в нескольких ульях.(Цитата: Microsoft Wow6432Node 2018)(Цитата: Malwarebytes Wow6432Node 2016) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx также доступен, но не создается по умолчанию в Windows Vista и новее. Записи ключей запуска в реестре могут ссылаться на программы напрямую или перечислять их в качестве зависимостей.(Цитата: Microsoft Run Key) Например, можно загрузить DLL при входе в систему, используя ключ "Depend" с RunOnceEx: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\0001\Depend /v 1 /d "C:\temp\evil[.]dll" (Цит. по: Oddvar Moe RunOnceEx Mar 2018)

Размещение программы в папке запуска также приведет к тому, что эта программа будет выполняться при входе пользователя в систему. Существует папка запуска для отдельных учетных записей пользователей, а также общесистемная папка запуска, которая будет проверяться независимо от того, какая учетная запись пользователя вошла в систему. Путь к папке запуска для текущего пользователя - C:\Users\[Имя пользователя]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup. Путь к папке запуска для всех пользователей - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp.

Следующие ключи реестра можно использовать для настройки элементов папки запуска на постоянство:

* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

Следующие ключи реестра могут управлять автоматическим запуском служб во время загрузки:

* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices

Использование параметров политики для указания программ запуска создает соответствующие значения в любом из двух ключей реестра:

* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

Программы, перечисленные в значении загрузки ключа реестра HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows, запускаются автоматически для пользователя, вошедшего в систему в данный момент.

По умолчанию многострочное значение BootExecute ключа реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager установлено на autocheck autochk *. Это значение заставляет Windows при запуске проверять целостность файловой системы жестких дисков, если система была выключена с ошибкой. Злоумышленники могут добавить в это значение реестра другие программы или процессы, которые будут автоматически запускаться при загрузке.

Злоумышленники могут использовать эти места конфигурации для выполнения вредоносных программ, таких как инструменты удаленного доступа, для сохранения работоспособности при перезагрузке системы.Злоумышленники также могут использовать Маскарад, чтобы записи в реестре выглядели так, будто они связаны с легитимными программами.

https://attack.mitre.org/techniques/T1547/001

← Назад

Визуализация смежных техник для T1547.001

Отрасль:
 с подтехниками
Техника

Закрыть