Техники: T1547 , T1547.001 , T1547.002 , T1547.003 , T1547.004 , T1547.005 , T1547.006 , T1547.007 , T1547.008 , T1547.009 , T1547.010 , T1547.012 , T1547.013 , T1547.014 , T1547.015
Злоумышленники могут добиться стойкости, добавив ключ реестра в Active Setup локальной машины. Active Setup - это механизм Windows, который используется для выполнения программ при входе пользователя в систему. Значение, хранящееся в ключе реестра, будет выполняться после входа пользователя в компьютер.(Цит. по: Klein Active Setup 2010) Эти программы будут выполняться в контексте пользователя и иметь соответствующий учетной записи уровень разрешений.
Злоумышленники могут злоупотреблять Active Setup, создавая ключ в HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\ и устанавливая вредоносное значение для StubPath.Это значение будет служить программой, которая будет выполняться при входе пользователя в компьютер.(Цитата: Mandiant Glyer APT 2010)(Цитата: Citizenlab Packrat 2015)(Цитата: FireEye CFR Watering Hole 2012)(Цитата: SECURELIST Bright Star 2015)(Цитата: paloalto Tropic Trooper 2016)
Злоумышленники могут использовать эти компоненты для выполнения вредоносного ПО, например инструментов удаленного доступа, для сохранения устойчивости при перезагрузке системы.Злоумышленники также могут использовать Masquerading, чтобы записи в реестре выглядели так, будто они связаны с легитимными программами.
https://attack.mitre.org/techniques/T1547/014
Визуализация смежных техник для T1547.014
| № | Техника |
|---|
