PT Sandbox

Песочница для экспертной защиты от сложного вредоносного ПО и угроз нулевого дня

T1547.014: Активная установка

Злоумышленники могут закрепиться в системе, добавив ключ реестра в активную установку (Active Setup) локального компьютера. Активная установка — это механизм Windows, который используется для выполнения программ при входе пользователя в систему. Программа, указанная в ключе реестра, будет выполнена после того, как пользователь войдет в систему. Эти программы будут выполняться в контексте пользователя и иметь уровень разрешений, соответствующий его учетной записи.

Злоумышленники могут использовать активную установку, создав ключ в разделе HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\ и установив вредоносное значение для параметра StubPath. Это значение определяет программу, которая будет выполняться при входе пользователя в систему.

Злоумышленники могут использовать эти компоненты для запуска вредоносных программ, таких как средства удаленного доступа, чтобы обеспечить закрепление в системе после ее перезагрузки. Злоумышленники также могут использовать маскировку записей в реестре под данные, связанные с легитимными программами.

Какие продукты Positive Technologies покрывают технику

Описание методов обнаружения техники пока недоступно

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Monitor newly executed processes that may achieve persistence by adding a Registry key to the Active Setup of the local machine.

IDDS0024Источник и компонент данныхРеестр Windows: Изменение ключа реестра WindowsОписание

Monitor Registry key modifications to HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\. Tools such as Sysinternals Autoruns may also be used to detect system changes that could be attempts at persistence, including listing the Active Setup Registry locations and startup folders. Suspicious program execution as startup programs may show up as outlier processes that have not been seen before when compared against historical data.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Monitor executed commands and arguments that may achieve persistence by adding a Registry key to the Active Setup of the local machine.

IDDS0024Источник и компонент данныхРеестр Windows: Создание ключа реестра WindowsОписание

Monitor Registry key additions to HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\. Tools such as Sysinternals Autoruns may also be used to detect system changes that could be attempts at persistence, including listing the Active Setup Registry locations and startup folders. Suspicious program execution as startup programs may show up as outlier processes that have not been seen before when compared against historical data.