Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1547 , T1547.001 , T1547.002 , T1547.003 , T1547.004 , T1547.005 , T1547.006 , T1547.007 , T1547.008 , T1547.009 , T1547.010 , T1547.012 , T1547.013 , T1547.014 , T1547.015
Злоумышленники могут использовать функции Winlogon для выполнения DLL и/или исполняемых файлов при входе пользователя в систему. Winlogon.exe - это компонент Windows, отвечающий за действия при входе/выходе из системы, а также за последовательность безопасного внимания (SAS), вызываемую нажатием Ctrl-Alt-Delete. Записи реестра в HKLM\Software[\\Wow6432Node\\]\Microsoft\Windows NT\CurrentVersion\Winlogon\ и HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ используются для управления дополнительными вспомогательными программами и функциональными возможностями, которые поддерживают Winlogon.(Цитата: Cylance Reg Persistence Sept 2013)
Вредоносные модификации этих ключей реестра могут заставить Winlogon загружать и исполнять вредоносные DLL и/или исполняемые файлы.В частности, известно, что следующие подблоки могут быть уязвимы для злоупотреблений: (цит. по: Cylance Reg Persistence Sept 2013)
* Winlogon\Notify - указывает на DLL пакета уведомлений, которые обрабатывают события Winlogon
* Winlogon\Userinit - указывает на userinit.exe, программу инициализации пользователя, выполняемую при входе
* Winlogon\Shell - указывает на explorer.exe, системную оболочку, выполняемую при входе
Злоумышленники могут воспользоваться этими возможностями для многократного выполнения вредоносного кода и установления постоянства.
https://attack.mitre.org/techniques/T1547/004
Визуализация смежных техник для T1547.004
| № | Техника |
|---|
