MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1112: Изменение реестра

Злоумышленники могут взаимодействовать с реестром Windows для скрытия информации о конфигурации в ключах реестра, удаления данных в процессе заметания следов или для закрепления в системе либо выполнения кода при использовании других техник.

Доступ к определенным разделам реестра определяется разрешениями учетной записи, причем некоторые разделы доступны только администраторам. Для локального или удаленного изменения реестра Windows может использоваться системная утилита командной строки reg . Могут использоваться и другие средства, например инструмент удаленного доступа, который может включать в себя функциональность для взаимодействия с реестром через API Windows.

Манипуляции с реестром также могут включать скрытие ключей, например путем добавления к их именам нулевого символа — он приведет к ошибке и (или) будет проигнорирован при чтении реестра с помощью reg или других утилит, использующих API Win32 . Злоумышленники могут использовать эти замаскированные ключи для скрытия полезной нагрузки или команд, используемых для закрепления в системе .

Реестр удаленной системы может быть изменен, чтобы обеспечить выполнение файлов при перемещении внутри периметра. Для этого необходимо, чтобы на целевой системе была запущена служба удаленного реестра . Для взаимодействия через RPC часто требуется доступ к существующим учетным записям, а также к общим SMB- и административным ресурсам Windows удаленной системы.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_cred_access: PT-CR-566: LSA_SSP_Change: Изменены значения параметров реестра, в которых прописаны пути к библиотекам Security Support Provider (SSP)
mitre_attck_defense_evasion: PT-CR-1208: EventLog_File_Substitute: Подменен путь до файла журнала Windows, чтобы сделать его недоступным
mitre_attck_defense_evasion: PT-CR-1210: MiniNT_Key_Created: Служба регистрации событий Windows отключена добавлением ключа MiniNT в реестр
mitre_attck_defense_evasion: PT-CR-1360: Suspicious_Registry_Value: Злоупотребление реестром Windows, что может быть признаком подготовки к атаке: закрепления, повышения привилегий, горизонтального перемещения, предотвращения обнаружения, сбора данных и другой вредоносной активности
mitre_attck_defense_evasion: PT-CR-1368: Disable_Sysmon: Служба Sysmon изменена или отключена
mitre_attck_lateral_movement: PT-CR-1372: Remote_SSP_Dump: Использование скрипта из измененного набора инструмента Impacket, позволяющего удаленно сделать дамп памяти процесса lsass
mitre_attck_lateral_movement: PT-CR-1752: Service_From_Remote_File_Creation: Создание службы из сетевой директории
mitre_attck_command_and_control: PT-CR-461: Port_Forwarding_or_Tunneling: Обнаружена возможная попытка пробросить сетевой порт
mitre_attck_impact: PT-CR-502: Stop_Important_Service_registry: Обнаружение попыток остановить важную службу. Список служб находится в табличном списке Significant_services.
mitre_attck_lateral_movement: PT-CR-785: Modify_and_Start_Remote_Service: Обнаружена попытка выполнения кода или горизонтального перемещения путем изменения команды запуска системных служб
mitre_attck_lateral_movement: PT-CR-788: Shadow_Key_Creation: Обнаружено создание раздела реестра Shadow для теневого RDP-подключения
mitre_attck_lateral_movement: PT-CR-956: Disable_Smartcard: Отключение опции Smart Card в реестре
mitre_attck_persistence: PT-CR-261: GlobalFlags_in_Image_File_Execution_Options: Обнаружена попытка изменить ключ реестра "Image File Execution Options", чтобы встроить стороннее программное обеспечение в цепочку запуска
mitre_attck_defense_evasion: PT-CR-1856: DNS_over_HTTPS_Enable: Злоумышленники могут включить протокол DNS over HTTPS для браузера или Windows, чтобы скрыть интернет-трафик или процесс утечки данных
mitre_attck_defense_evasion: PT-CR-1859: Disable_UAC_Remote_Restrictions: Злоумышленники могут отключить UAC в рамках контроля удаленных подключений. Это позволяет высокопривилегированным пользователям подключиться к удаленному узлу с использованием учетной записи из локальной группы администраторов на этом узле
mitre_attck_defense_evasion: PT-CR-193: ControlPanel_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows control.exe (используется для запуска элементов панели управления)
mitre_attck_persistence: PT-CR-521: Debugger_in_Image_File_Execution_Options: Обнаружена попытка встроить стороннее программное обеспечение в цепочку запуска через "Debugger"
mitre_attck_persistence: PT-CR-664: Default_File_Association_Modify: Процесс изменил одну из веток реестра, отвечающих за определение приложения по умолчанию, используемого для открытия файлов, имеющих определенное расширение в системе
mitre_attck_persistence: PT-CR-666: Universal_Windows_Platform_Apps_Modify: Установлен ключ для UWP-приложения
mitre_attck_persistence: PT-CR-809: Hiding_Already_Existing_Task: Скрыто запланированное задание
mitre_attck_persistence: PT-CR-1997: EventViewer_Registry_Modify: Изменен ключ реестра, отвечающий за перенаправление на справку по компоненту "Просмотр событий". Атакующий может поместить в него путь к файлу, который будет выполняться при получении справки, для закрепления на целевой системе
mitre_attck_persistence: PT-CR-2061: Outlook_Home_Page_Changes: Изменен ключ реестра, отвечающий за представление домашней страницы почтовой папки Outlook. Это позволяет злоумышленнику сохранить и выполнить код
mitre_attck_persistence: PT-CR-1345: Abusing_Windows_Telemetry_Persist: Закрепление путем изменения настроек компонента TelemetryController
mitre_attck_persistence: PT-CR-1346: Time_Providers_Persistence: Закрепление путем изменения настроек в разделе TimeProviders
mitre_attck_persistence: PT-CR-1348: RID_Hijacking_Persistence: Закрепление путем перехвата RID учетной записи
mitre_attck_persistence: PT-CR-1349: AppCert_DLLs_Persist: Закрепление путем изменения настроек компонента AppCertDLLs
hacking_tools: PT-CR-1838: NimExec_Activity: Активность инструмента NimExec, использующегося для удаленного выполнения команд
mitre_attck_cred_access: PT-CR-771: Lsass_Dump_via_SilentProcessExit: Обнаружено создание дампа памяти процесса lsass.exe с помощью SilentProcessExit
mitre_attck_execution: PT-CR-777: Hidden_Scheduled_Task: Обнаружено создание скрытой запланированной задачи или скрытное изменение уже существующей запланированной задачи без записи в журнал событий Windows. Создание задачи или ее изменение может выполняться непосредственно напрямую в реестре, без использования Планировщика заданий Windows
mitre_attck_execution: PT-CR-778: Hidden_Service_Create: Обнаружено создание скрытой службы через реестр без использование функции CreateService
mitre_attck_defense_evasion: PT-CR-933: Malicious_Activity_From_Office_Documents: Подозрительная активность офисных программ: создание исполняемых файлов, изменение ключей реестра, загрузка DLL-библиотеки COM-объекта Internet Explorer, создание потоков в адресном пространстве иных процессов
mitre_attck_defense_evasion: PT-CR-940: SharpEventPersist_Usage: Запуск утилиты SharpEventPersist, используемой для закрепления в системе
hacking_tools: PT-CR-757: Internal_Monologue_Attack: Обнаружена атака NetNTLM Downgrade с помощью утилиты Internal Monologue
mitre_attck_persistence: PT-CR-963: Perf_Key_Modify: Изменено значение ключа реестра Perf
mitre_attck_persistence: PT-CR-265: COM_object_persistence: Обнаружена попытка изменить ссылки и взаимодействия Component Object Model в реестре Microsoft Windows
mitre_attck_persistence: PT-CR-267: Registry_Winlogon_Helper: Закрепление путем изменения настроек компонента Winlogon
mitre_attck_persistence: PT-CR-268: Windows_Accessibility_StickyKey_modification: Обнаружена попытка изменить ключ реестра, отвечающий за запуск приложений специальных возможностей
mitre_attck_persistence: PT-CR-662: Command_Processor_Autorun_Modify: Процесс изменил значение параметра ключа реестра интерпретатора командной строки (cmd.exe)
mitre_attck_persistence: PT-CR-667: Userinitmprlogonscript_Modify: Процесс изменил значение параметра реестра
mitre_attck_cred_access: PT-CR-1769: Subrule_PPLmedic_DllLoad: Утилита PPLmedic внедрила в реестр файл DDL
mitre_attck_cred_access: PT-CR-2077: Netlogon_Activated: Изменен параметр реестра, отвечающий за разрешение уязвимого подключения по безопасному каналу Netlogon для устройств, работающих не под ОС Windows
mitre_attck_defense_evasion: PT-CR-2106: SIP_and_Trust_Provider_Hijacking: Изменена функция, отвечающая за проверку исполняемых файлов на доверие. Злоумышленники меняют функции CryptSIPDllGetSignedDataMsg, CryptSIPDllVerifyIndirectData и FinalPolicy, чтобы, избегая обнаружения, выполнять вредоносную полезную нагрузку на компьютере пользователя
mitre_attck_defense_evasion: PT-CR-2224: Safe_Mode_Boot: Модификация параметров системы или ключей реестра, отвечающих за запуск системы, процессов, сервисов или драйверов в безопасном режиме. Это позволит злоумышленникам отключить защиту конечных точек и избежать обнаружения
mitre_attck_defense_evasion: PT-CR-2234: Office_Security_Params_Changed: Пользователь изменил ключ реестра, отвечающий за безопасность приложений пакета MS Office. Злоумышленники могут использовать макросы MS Office для закрепления в системе
mitre_attck_defense_evasion: PT-CR-312: Disable_LSA_Protection: Отключена защита LSA
mitre_attck_defense_evasion: PT-CR-313: WDigest_Enable: Включен метод проверки подлинности WDigest
mitre_attck_defense_evasion: PT-CR-454: Dnscmd_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows dnscmd.exe (интерфейс командной строки для управления DNS-серверами)
mitre_attck_defense_evasion: PT-CR-562: Disable_Credential_Guard: Функция Credential Guard отключена в реестре
mitre_attck_defense_evasion: PT-CR-563: Disable_Restricted_Admin_Mode: Процесс изменил значение ключа реестра для отключения режима Restricted Admin
mitre_attck_defense_evasion: PT-CR-643: Hide_Account_from_Logon_Screen: Имя пользователя скрыто с экрана приветствия
mitre_attck_defense_evasion: PT-CR-773: Lsass_SilentProcessExit_Keys: Обнаружено создание разделов реестра для дампа памяти процесса lsass.exe с помощью SIlentProcessExit
mitre_attck_cred_access: PT-CR-297: Abusing_CredSSP: Изменены параметры CredSSP для использования менее безопасных алгоритмов проверки подлинности пользователя
mssql_database: PT-CR-426: MSSQL_write_registry_value: Попытка записать значение ключа реестра из базы данных
remote_work: PT-CR-435: Windows_firewall_enable_local_RDP: Применены разрешения, позволяющие создавать подключения по протоколу RDP

Способы обнаружения

IDDS0024Источник и компонент данныхРеестр Windows: Удаление ключа реестра WindowsОписание

Отслеживайте подозрительное удаление ключей реестра Windows, выполняемое с целью скрытия сведений о конфигурации, удаления данных, маскировки следов или закрепления в системе и выполнения кода с помощью других методов.

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Удаленный доступ к реестру можно получить с помощью:

  • функции API Windows с именем RegConnectRegistry;
  • утилиты командной строки reg.exe;
  • утилиты regedit.exe с графическим интерфейсом.

При всех этих действиях вызывается функция API Windows, использующая именованный канал WINREG по SMB для обработки данных протокола. Эти сетевые данные можно расшифровать с помощью wireshark или аналогичного датчика и обнаружить путем перехвата функции API.

Анализ 1. Удаленный реестр

source="Zeek:" (dest_port="445" AND proto_info.pipe="WINREG") OR (proto_info.function="Create*" OR proto_info.function="SetValue*")

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте процессы и аргументы командной строки, которые могут использоваться для изменения, скрытия и (или) удаления информации из реестра (такие как reg.exe и regedit.exe). Анализ отслеживает запуск процесса reg процессом cmd.exe, родительским процессом которого не является explorer.exe. Встроенная утилита reg.exe обеспечивает интерфейс командной строки для работы с реестром, позволяя выполнять запросы и модификации из оболочки, например cmd.exe. Если такие действия инициированы пользователем, как правило, родительским процессом cmd.exe является explorer.exe. Опытные пользователи и администраторы могут создавать сценарии, которые будут выполнять эти же действия, но, скорее всего, из другого дерева процессов. Следует создать список легитимных сценариев, запускаемых в фоновом режиме, чтобы исключить ложные срабатывания. События регистрируются в Sysmon (событие с ИД 1: создание процесса) и журнале безопасности Windows (событие с ИД 4688: создание нового процесса).

Анализ 1. Вмешательство в реестр с модификацией Userinit, Shell или Notify

(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") ((CommandLine="reg" CommandLine="add" CommandLine="/d") OR ((CommandLine="Set-ItemProperty" OR CommandLine="New-ItemProperty") AND CommandLine="-value")) CommandLine="\Microsoft\Windows NT\CurrentVersion\Winlogon" (CommandLine="Userinit" OR CommandLine="Shell" OR CommandLine="Notify")

Анализ 2. Изменение папки автозагрузки по умолчанию с помощью ключа реестра Common Startup

(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") (CommandLine="reg" AND CommandLine="add" AND CommandLine="/d") OR (CommandLine="Set-ItemProperty" AND CommandLine="-value") CommandLine="Common Startup"

Анализ 3. Вмешательство в реестр с созданием ключа SafeDllSearchMode со значением 0

(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688")((CommandLine="reg" CommandLine="add" CommandLine="/d") OR (CommandLine="Set-ItemProperty" CommandLine="-value")) (CommandLine="00000000" OR CommandLine="0") CommandLine="SafeDllSearchMode")

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Отслеживайте вызовы API, которые могут использоваться для скрытия ключей реестра, например Reghide . Проверяйте и очищайте скрытые вредоносные записи реестра, используя вызовы нативного API Windows и (или) такие инструменты, как Autoruns и RegDelNull . Другие вызовы API, относящиеся к изменению реестра: RegOpenKeyExA, RegCreateKeyExA, RegDeleteKeyExA, RegDeleteValueExA, RegEnumKeyExA, RegEnumValueExA.

Примечание. Большинство инструментов EDR не поддерживают прямой мониторинг вызовов API, так как конечная система генерирует их слишком много. Однако они могут создавать оповещения или события на основе абстракции вызовов API ОС. Для отслеживания процедуры выполнения (включая вызовы API ОС) отдельного PE-бинарного файла можно использовать инструменты динамического анализа вредоносного ПО (то есть песочницы).

IDDS0024Источник и компонент данныхРеестр Windows: Изменение ключа реестра WindowsОписание

Отслеживайте изменения в ключах реестра Windows или значениях. По возможности включите аудит реестра для конкретных ключей. После этого событие с уведомлением (ИД 4657) будет создаваться при каждом изменении значений (учтите, что это может не распространятся на создание значений с помощью Reghide и других методов, направленных на избежание обнаружения) . Изменение записей реестра, которые загружают ПО при запуске Windows и не связаны с известным ПО, циклами выпуска обновлений и т. п., стоит считать подозрительным, как и добавление и изменение файлов в папке автозагрузки. Эти изменения могут включать добавление служб и замену путей к существующим файлам на пути к вредоносным. После изменения записи, связанной со службой, скорее всего, произойдет ее локальный или удаленный запуск либо перезапуск для выполнения файла.

Отслеживайте изменения в значениях Notify, Userinit и Shell ключей реестра, расположенных в HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ и HKEY_LOCAL_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. При входе пользователя в систему данные значения используются для загрузки соответствующего компонента Windows. Злоумышленники могут внедрить полезную нагрузку вредоносного ПО, которая будет запущена после обработки легитимного значения.

Отслеживайте изменения в ключе реестра Common Startup, расположенного в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\ и HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders. При входе пользователя в систему запускаются все файлы, хранящиеся в папке автозагрузки. Злоумышленники могут добавлять файлы так, чтобы обойти методы обнаружения, нацеленные на стандартные папки. Данный метод обнаружения отслеживает события с ИД 4688 и 1, регистрирующие создание процессов, и событие с ИД 4657, регистрирующее модификацию ключей реестра.

Анализ 1. Изменение реестра путем модификации Userinit, Shell и Notify

source="*WinEventLog:Security" EventCode="4657" (ObjectValueName="Userinit" OR ObjectValueName="Shell" OR ObjectValueName="Notify") OR source="*WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="13" (TargetObject="*Userinit" OR TargetObject="*Shell" OR TargetObject="*Notify")

Анализ 2. Изменение папки автозагрузки по умолчанию с помощью ключа реестра Common Startup

(source="*WinEventLog:Security" EventCode="4657" ObjectValueName="Common Startup") OR (source="*WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="13" TargetObject="*Common Startup")

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для изменения, скрытия и (или) удаления информации из реестра. Для изменения реестра также может использоваться инструментарий управления Windows и PowerShell. Для сбора данных о работе этих средств и их последующего анализа может потребоваться дополнительная настройка функций журналирования.

IDDS0024Источник и компонент данныхРеестр Windows: Создание ключа реестра WindowsОписание

Отслеживайте недавно созданные ключи реестра и значения, которые могут быть использованы для закрепления в системе либо выполнения кода. Отслеживайте создание ключа реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\SafeDllSearchMode. Если значение ключа SafeDllSearchMode будет задано как 0, ключ заблокирует механизм Windows для поиска DLL-библиотек, и злоумышленники смогут выполнять свои вредоносные DLL-библиотеки.

Анализ 1. Создание ключа SafeDllSearchMode в реестре со значением 0

((source="*WinEventLog:Security" EventCode="4657")(ObjectValueName="SafeDllSearchMode" value="0")) OR ((source="*WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="13") EventType="SetValue" TargetObject="*SafeDllSearchMode" Details="DWORD (0x00000000)")))

Меры противодействия

IDM1024НазваниеОграничение прав доступа к рееструОписание

Проследите, чтобы для кустов реестра были установлены соответствующие разрешения, чтобы предотвратить изменение пользователями разделов системных компонентов, что может привести к повышению привилегий.