T1547.014: Активная установка

Злоумышленники могут закрепиться в системе, добавив ключ реестра в активную установку (Active Setup) локального компьютера. Активная установка — это механизм Windows, который используется для выполнения программ при входе пользователя в систему. Программа, указанная в ключе реестра, будет выполнена после того, как пользователь войдет в систему. Эти программы будут выполняться в контексте пользователя и иметь уровень разрешений, соответствующий его учетной записи.

Злоумышленники могут использовать активную установку, создав ключ в разделе HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components</code> и установив вредоносное значение для параметра StubPath. Это значение определяет программу, которая будет выполняться при входе пользователя в систему.

Злоумышленники могут использовать эти компоненты для запуска вредоносных программ, таких как средства удаленного доступа, чтобы обеспечить закрепление в системе после ее перезагрузки. Злоумышленники также могут использовать маскировку записей в реестре под данные, связанные с легитимными программами.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

Мониторинг добавления и изменения ключей (StubPath) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\ (идентификаторы 12 и 13 в Sysmon, идентификатор 4657 в Microsoft Windows Security Auditing)

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для закрепления в системе путем добавления ключа реестра в механизм активной установки локального компьютера.

IDDS0024Источник и компонент данныхРеестр Windows: Создание ключа реестра WindowsОписание

Отслеживайте добавление ключей реестра в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components</code>. С помощью таких инструментов, как Sysinternals Autoruns, можно обнаружить изменения в системе, включая просмотр в реестре расположений механизма активной установки и модификацию папок автозагрузки, которые могут указывать на попытки закрепления в системе. Запуск подозрительных программ через автозагрузку может проявляться в виде нетипичных процессов, которые можно выявить путем сравнения с предыдущими запусками системы.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых процессов, которые могут добавлять ключ реестра в активную установку локального компьютера для закрепления в системе.

IDDS0024Источник и компонент данныхРеестр Windows: Изменение ключа реестра WindowsОписание

Отслеживайте модификацию ключей реестра в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components</code>. С помощью таких инструментов, как Sysinternals Autoruns, можно обнаружить изменения в системе, включая просмотр в реестре расположений механизма активной установки и модификацию папок автозагрузки, которые могут указывать на попытки закрепления в системе. Запуск подозрительных программ через автозагрузку может проявляться в виде нетипичных процессов, которые можно выявить путем сравнения с предыдущими запусками системы.