T1547.014: Активная установка
Злоумышленники могут закрепиться в системе, добавив ключ реестра в активную установку (Active Setup) локального компьютера. Активная установка — это механизм Windows, который используется для выполнения программ при входе пользователя в систему. Программа, указанная в ключе реестра, будет выполнена после того, как пользователь войдет в систему. Эти программы будут выполняться в контексте пользователя и иметь уровень разрешений, соответствующий его учетной записи.
Злоумышленники могут использовать активную установку, создав ключ в разделе HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components</code> и установив вредоносное значение для параметра
StubPath
. Это значение определяет программу, которая будет выполняться при входе пользователя в систему.
Злоумышленники могут использовать эти компоненты для запуска вредоносных программ, таких как средства удаленного доступа, чтобы обеспечить закрепление в системе после ее перезагрузки. Злоумышленники также могут использовать маскировку записей в реестре под данные, связанные с легитимными программами.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
Мониторинг добавления и изменения ключей (StubPath) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\ (идентификаторы 12 и 13 в Sysmon, идентификатор 4657 в Microsoft Windows Security Auditing)
Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»
Способы обнаружения
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для закрепления в системе путем добавления ключа реестра в механизм активной установки локального компьютера. |
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Создание ключа реестра Windows | Описание | Отслеживайте добавление ключей реестра в
|
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, которые могут добавлять ключ реестра в активную установку локального компьютера для закрепления в системе. |
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Изменение ключа реестра Windows | Описание | Отслеживайте модификацию ключей реестра в
|
---|