Техники: T1562 , T1562.001 , T1562.002 , T1562.003 , T1562.004 , T1562.006 , T1562.007 , T1562.008 , T1562.009 , T1562.010 , T1562.011 , T1562.012
Злоумышленники могут использовать безопасный режим Windows для отключения средств защиты конечных точек. Безопасный режим запускает операционную систему Windows с ограниченным набором драйверов и служб. Программное обеспечение безопасности сторонних производителей, например средства обнаружения и реагирования на конечные точки (EDR), может не запускаться после загрузки Windows в безопасном режиме. Существует две версии безопасного режима: Безопасный режим и Безопасный режим с сетью.После загрузки в безопасном режиме можно запустить дополнительные службы.(Цитата: Microsoft Safe Mode)(Цитата: Sophos Snatch Ransomware 2019)
Злоумышленники могут использовать безопасный режим для отключения средств защиты конечных точек, которые могут не запускаться при ограниченной загрузке.Хосты могут быть принудительно переведены в безопасный режим после следующей перезагрузки путем внесения изменений в хранилища данных конфигурации загрузки (BCD) - файлы, управляющие настройками загрузочных приложений.(Цитата: Microsoft bcdedit 2021)
Злоумышленники также могут добавить свои вредоносные приложения в список минимальных служб, запускаемых в безопасном режиме, путем изменения соответствующих значений реестра (например, Modify Registry).Вредоносные объекты Component Object Model (COM) также могут быть зарегистрированы и загружены в безопасном режиме.(Цитата: Sophos Snatch Ransomware 2019)(Цитата: CyberArk Labs Safe Mode 2016)(Цитата: Cybereason Nocturnus MedusaLocker 2020)(Цитата: BleepingComputer REvil 2021)
https://attack.mitre.org/techniques/T1562/009
Визуализация смежных техник для T1562.009
| № | Техника |
|---|
