T1547.014: Активная установка
Злоумышленники могут закрепиться в системе, добавив ключ реестра в активную установку (Active Setup) локального компьютера. Активная установка — это механизм Windows, который используется для выполнения программ при входе пользователя в систему. Программа, указанная в ключе реестра, будет выполнена после того, как пользователь войдет в систему. Эти программы будут выполняться в контексте пользователя и иметь уровень разрешений, соответствующий его учетной записи.
Злоумышленники могут использовать активную установку, создав ключ в разделе HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
и установив вредоносное значение для параметра StubPath
. Это значение определяет программу, которая будет выполняться при входе пользователя в систему.
Злоумышленники могут использовать эти компоненты для запуска вредоносных программ, таких как средства удаленного доступа, чтобы обеспечить закрепление в системе после ее перезагрузки. Злоумышленники также могут использовать маскировку записей в реестре под данные, связанные с легитимными программами.
Какие продукты Positive Technologies покрывают технику
Описание методов обнаружения техники пока недоступно
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Monitor newly executed processes that may achieve persistence by adding a Registry key to the Active Setup of the local machine. |
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Изменение ключа реестра Windows | Описание | Monitor Registry key modifications to |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Monitor executed commands and arguments that may achieve persistence by adding a Registry key to the Active Setup of the local machine. |
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Создание ключа реестра Windows | Описание | Monitor Registry key additions to |
---|