T1012: Запросы к реестру
Злоумышленники могут использовать реестр Windows для сбора информации о конфигурации системы и установленном ПО.
Реестр содержит значительный объем информации об операционной системе, конфигурации, программном обеспечении и безопасности. Информацию можно легко получить с помощью утилиты reg, хотя существуют и другие средства доступа к реестру. Эта информация может пригодиться злоумышленникам для дальнейших действий в сети. Злоумышленники могут использовать информацию, полученную при запросах к реестру в ходе автоматического обнаружения, для определения дальнейшего поведения — например, следует ли осуществить полное заражение цели и (или) предпринять какие-то конкретные действия.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mssql_database: PT-CR-419: MSSQL_Read_Registry_Value: Попытка прочитать значение ключа реестра из базы данных mitre_attck_discovery: PT-CR-329: Query_Registry: Обнаружена попытка выполнить запрос к реестру mitre_attck_discovery: PT-CR-1082: Enumerating_Delegated_Credentials: В реестре проверено делегирование учетных записей
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, в которых может использоваться реестр Windows для сбора информации о конфигурации системы и установленном ПО. Примечание. Командлет PowerShell New-PSDrive создает как временные, так и постоянные диски, которые могут быть связаны с конкретным расположением в хранилище данных, например с ключом реестра, или указывать на такое расположение (PSProvider "Registry"). Командлет Get-ChildItem позволяет получить информацию об объектах, хранящихся в одном или нескольких расположениях. Используя оба командлета, можно получить перечень COM-объектов, хранящихся в одном или нескольких расположениях. Примечание для аналитики 3. Замените FilePathToLolbasProcessXX.exe именами процессов lolBAS, которые используются в вашей организации. Соответствующим образом скорректируйте параметр number_standard_deviations. Рекомендуется выявлять аномалии в симметрично распределенных данных, сравнивая расстояние от точки данных до среднего значения с определенным числом стандартных отклонений. Если данные не распределены, попробуйте другой алгоритм, например межквартильный размах (IQR). Аналитика 1. Подозрительные процессы, использующие ключи реестра
Аналитика 2. Запуск reg.exe из подозрительного cmd.exe
Аналитика 3. Редкие команды LolBAS
|
---|
ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Отслеживайте вызовы API (такие как Примечание. Большинство инструментов EDR не поддерживают прямой мониторинг вызовов API, так как конечная система генерирует их слишком много. Однако они могут создавать оповещения или события на основе абстракции вызовов API ОС. |
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Доступ к ключу реестра Windows | Описание | Отслеживайте нетипичные взаимодействия процессов с реестром Windows (например, чтение), которые могут быть связаны со сбором информации. Примечание. Для создания событий аудита безопасности с идентификаторами 4656 и 4663 необходим системный список управления доступом (SACL), который контролирует использование конкретных прав доступа, включая получение списка ключей и запрос значений ключей. В зависимости от того, за каким ключом реестра вы следите, может потребоваться создание нового SACL. От ключа реестра, который использовался для создания SACL, зависит число ложных срабатываний событий с идентификаторами 4656 и 4663. Аналитика 1. Подозрительные вхождения в реестре
|
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд, которые могут обращаться к реестру Windows для сбора информации о конфигурации системы и установленном ПО, и их аргументы. Примечание. Для регистрации событий модулей PowerShell с идентификатором 4103 включите ведение журнала для модуля Microsoft.PowerShell.Management. Командлет PowerShell New-PSDrive создает как временные, так и постоянные диски, которые могут быть связаны с конкретным расположением в хранилище данных, например с ключом реестра, или указывать на такое расположение (PSProvider "Registry"). Командлет Get-ChildItem позволяет получить информацию об объектах, хранящихся в одном или нескольких расположениях. Используя оба командлета, можно получить список COM-объектов, хранящихся в одном или нескольких расположениях. Аналитика 1. Подозрительные команды
|
---|