MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1547.001: Ключи запуска в реестре / Папка автозагрузки

Злоумышленники могут закрепиться в системе, добавив программу в папку автозагрузки или указав путь к этой программе в ключе запуска реестра. Это приведет к тому, что программа, на которую добавлена ссылка, будет запускаться при входе пользователя в систему. При этом она будет выполняться в контексте пользователя и иметь уровень разрешений, соответствующий его учетной записи.

В Windows по умолчанию созданы следующие ключи запуска:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

Ключи запуска могут существовать в разных кустах реестра. Также доступен ключ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx, но он не создается по умолчанию в Windows Vista и более новых версиях ОС. Записи в ключах запуска в реестре могут указывать программы напрямую или как зависимости. Например, при входе в систему можно загрузить DLL-файл, используя ключ Depend в RunOnceEx: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\0001\Depend /v 1 /d "C:\temp\evil[.]dll".

Программы, размещенные в папке автозагрузки, также будут запускаться при входе пользователя в систему. Существует своя папка автозагрузки для каждой пользовательской учетной записи, а также общесистемная папка автозагрузки, которая будет проверяться независимо от того, под какой учетной записью пользователь вошел в систему. Папка автозагрузки для текущего пользователя находится по пути C:\Users\[Username]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup. Папка автозагрузки для всех пользователей находится по пути C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp.

В качестве механизма закрепления в системе могут быть использованы следующие ключи реестра для настройки элементов папки автозагрузки:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

С помощью следующих ключей реестра можно управлять автоматическим запуском служб во время загрузки:

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices

При использовании параметров политики для указания автоматически запускаемых программ создаются соответствующие значения в одном из двух указанных ниже ключей реестра:

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

Программы, указанные в параметре Load ключа HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows в реестре, автоматически запускаются для пользователя, входящего в данный момент в систему.

По умолчанию, многострочный параметр BootExecute ключа HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager в реестре имеет значение autocheck autochk *. Это значение указывает, что при запуске Windows должна быть проверена целостность файловой системы жестких дисков, если завершение работы системы произошло не должным образом. Злоумышленники могут добавить в это значение реестра другие программы или процессы, которые будут автоматически запускаться при загрузке системы.

Злоумышленники могут использовать эти параметры конфигурации для запуска вредоносных программ, таких как средства удаленного доступа, чтобы обеспечить закрепление в системе после ее перезагрузки. Злоумышленники также могут использовать маскировку записей в реестре под данные, связанные с легитимными программами.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_persistence: PT-CR-269: Windows_Autorun_Modification: Изменен состав автозапуска ОС Windows
mitre_attck_persistence: PT-CR-662: Command_Processor_Autorun_Modify: Процесс изменил значение параметра ключа реестра интерпретатора командной строки (cmd.exe)

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Monitor for newly executed processes executed from the Run/RunOnce registry keys through Windows EID 9707 or “Software\Microsoft\Windows\CurrentVersion\Run” and “Software\Microsoft\Windows\CurrentVersion\RunOnce” registry keys with the full command line.

Registry modifications are often essential in establishing persistence via known Windows mechanisms. Many legitimate modifications are done graphically via regedit.exe or by using the corresponding channels, or even calling the Registry APIs directly. The built-in utility reg.exe provides a command-line interface to the registry, so that queries and modifications can be performed from a shell, such as cmd.exe. When a user is responsible for these actions, the parent of cmd.exe will likely be explorer.exe. Occasionally, power users and administrators write scripts that do this behavior as well, but likely from a different process tree. These background scripts must be learned so they can be tuned out accordingly.

Output Description The sequence of processes that resulted in reg.exe being started from a shell. That is, a hierarchy that looks like • great-grand_parent.exe • grand_parent.exe • parent.exe • reg.exe

Analytic 1 - Reg.exe called from Command Shell

(source="*WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="*WinEventLog:Security" EventCode="4688") Image="reg.exe" AND ParentImage="cmd.exe" | join left=L right=R where L.ParentProcessGuid = R.ProcessGuid [search EventCode IN (1, 4688) Image="*cmd.exe" ParentImage!="*explorer.exe"]

IDDS0024Источник и компонент данныхРеестр Windows: Изменение ключа реестра WindowsОписание

Monitor Registry for changes to run keys that do not correlate with known software, patch cycles, etc. Tools such as Sysinternals Autoruns may also be used to detect system changes that could be attempts at persistence, including listing the run keys' Registry locations.

Detection of the modification of the registry key Common Startup located in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\ and HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders. When a user logs on, any files located in the Startup Folder are launched. Attackers may modify these folders with other files in order to evade detection set on these default folders. This detection focuses on EventIDs 4688 and 1 for process creation and EventID 4657 for the modification of the Registry Keys.

Analytic 1 - Modification of Default Startup Folder in the Registry Key ‘Common Startup’

(source="*WinEventLog:Security" EventCode="4657" ObjectValueName="Common Startup") OR (source="*WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="13" TargetObject="*Common Startup")

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Monitor executed commands and arguments that may achieve persistence by adding a program to a startup folder or referencing it with a Registry run key.

IDDS0024Источник и компонент данныхРеестр Windows: Создание ключа реестра WindowsОписание

Monitor for newly created windows registry keys that may achieve persistence by adding a program to a startup folder or referencing it with a Registry run key.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Monitor the start folder for additions or changes. Tools such as Sysinternals Autoruns may also be used to detect system changes that could be attempts at persistence, including the startup folders.