T1012: Запросы к реестру
Злоумышленники могут использовать реестр Windows для сбора информации о конфигурации системы и установленном ПО.
Реестр содержит значительный объем информации об операционной системе, конфигурации, программном обеспечении и безопасности. Информацию можно легко получить с помощью утилиты reg, хотя существуют и другие средства доступа к реестру. Эта информация может пригодиться злоумышленникам для дальнейших действий в сети. Злоумышленники могут использовать информацию, полученную при запросах к реестру в ходе автоматического обнаружения, для определения дальнейшего поведения — например, следует ли осуществить полное заражение цели и (или) предпринять какие-то конкретные действия.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_discovery: PT-CR-329: Query_Registry: Обнаружена попытка выполнить запрос к реестру
mitre_attck_discovery: PT-CR-1082: Enumerating_Delegated_Credentials: В реестре проверено делегирование учетных записей
mssql_database: PT-CR-419: MSSQL_read_registry_value: Попытка прочитать значение ключа реестра из базы данных
Способы обнаружения
ID | DS0024 | Источник и компонент данных | Реестр Windows: Доступ к ключу реестра Windows | Описание | Отслеживайте нетипичные взаимодействия процессов с реестром Windows (например, чтение), которые могут быть связаны со сбором информации. Примечание. Для создания событий аудита безопасности с ИД 4656 и 4663 необходим системный список управления доступом (SACL), который контролирует использование конкретных прав доступа, включая перечисление ключей и запрос значений ключей. В зависимости от того, за каким ключом реестра вы следите, может потребоваться создание нового SACL. От ключа реестра, который использовался для создания SACL, зависит число ложных срабатываний событий с ИД 4656 и 4663. Анализ 1. Подозрительные вхождения в реестре
|
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, в которых может использоваться реестр Windows для сбора информации о конфигурации системы и установленном ПО. Примечание. Командлет PowerShell New-PSDrive создает как временные, так и постоянные диски, которые могут быть связаны с конкретным расположением в хранилище данных, например с ключом реестра, или указывать на такое расположение (PSProvider "Registry"). Командлет Get-ChildItem позволяет получить информацию об объектах, хранящихся в одном или нескольких расположениях. Используя оба командлета, можно получить перечень COM-объектов, хранящихся в одном или нескольких расположениях. Примечание для анализа 3. Замените FilePathToLolbasProcessXX.exe именами процессов lolBAS, которые используются в вашей организации. Соответствующим образом скорректируйте параметр number_standard_deviations. Рекомендуется выявлять аномалии в симметрично распределенных данных, сравнивая расстояние от точки данных до среднего значения с определенным числом стандартных отклонений. Если данные не распределены, попробуйте другой алгоритм, например, межквартильный размах (IQR). Анализ 1. Подозрительные процессы, использующие ключи реестра
Анализ 2. Запуск reg.exe из подозрительного cmd.exe
Анализ 3. Редкие команды LolBAS
|
---|
ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Отслеживайте вызовы API (такие как Примечание. Большинство инструментов EDR не поддерживают прямой мониторинг вызовов API, так как конечная система генерирует их слишком много. Однако они могут создавать оповещения или события на основе абстракции вызовов API ОС. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд, которые могут обращаться к реестру Windows для сбора информации о конфигурации системы и установленном ПО, и их аргументы. Примечание. Для регистрации событий модулей PowerShell с ИД 4103 включите ведение журнала для модуля Microsoft.PowerShell.Management. Командлет PowerShell New-PSDrive создает как временные, так и постоянные диски, которые могут быть связаны с конкретным расположением в хранилище данных, например с ключом реестра, или указывать на такое расположение (PSProvider "Registry"). Командлет Get-ChildItem позволяет получить информацию об объектах, хранящихся в одном или нескольких расположениях. Используя оба командлета, можно получить перечень COM-объектов, хранящихся в одном или нескольких расположениях. Анализ 1. Подозрительные команды
|
---|