T1562.009: Загрузка в безопасном режиме

Злоумышленники могут воспользоваться безопасным режимом Windows, чтобы отключить защиту конечных точек. В безопасном режиме операционная система Windows запускается с ограниченным набором драйверов и служб. Сторонние решения безопасности, например система выявления и предотвращения угроз на конечных точках (EDR), могут не запуститься в безопасном режиме Windows. Существует две версии безопасного режима: обычный и с поддержкой сети. После загрузки в безопасном режиме можно запустить дополнительные службы.

Злоумышленники могут использовать безопасный режим, чтобы отключить защиту конечных точек, которая может не запускаться в ограниченном режиме. Хосты можно принудительно перевести в безопасный режим при следующей перезагрузке, изменив файлы хранилища данных конфигурации загрузки (BCD), которые содержат настройки загрузчика.

Злоумышленники могут изменять определенные значения реестра (техника Изменение реестра), чтобы добавлять свои вредоносные приложения в минимальный список служб, которые запускаются в безопасном режиме. Также они могут регистрировать и загружать в безопасном режиме вредоносные COM-объекты.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_defense_evasion: PT-CR-2224: Safe_Mode_Boot: Модификация параметров системы или ключей реестра, отвечающих за запуск системы, процессов, сервисов или драйверов в безопасном режиме. Это позволит злоумышленникам отключить защиту конечных точек и избежать обнаружения

Способы обнаружения

ID	DS0024	Источник и компонент данных	Реестр Windows: Создание ключа реестра Windows	Описание	Отслеживайте создание в реестре служб, которые могут запускаться в безопасном режиме. К примеру, чтобы программа принудительно запускалась при старте системы в безопасном режиме, в начале имени ключа "Startup" можно добавить символы `` (например, `HKLM\Software\Microsoft\Windows\CurrentVersion\Run["Startup"="{Path}"]`). Аналогичного эффекта можно достичь, добавив запись в ключ реестра `HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal`.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте запуск новых процессов, которые могут отключить защиту конечных точек в безопасном режиме Windows.

ID	DS0024	Источник и компонент данных	Реестр Windows: Изменение ключа реестра Windows	Описание	Отслеживайте изменения данных реестра, связанных с включением безопасного режима. К примеру, чтобы служба принудительно запускалась при старте системы в безопасном режиме, в начале имени ключа "Startup" можно добавить символы `` (например, `HKLM\Software\Microsoft\Windows\CurrentVersion\Run["Startup"="{Path}"]`). Аналогичного эффекта можно достичь, добавив запись в ключ реестра `HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal`.

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для изменения параметров загрузки системы, таких как `bcdedit.exe` и `bootcfg.exe`.

ID	Источник и компонент данных	Описание
DS0024	Реестр Windows: Создание ключа реестра Windows	Отслеживайте создание в реестре служб, которые могут запускаться в безопасном режиме. К примеру, чтобы программа принудительно запускалась при старте системы в безопасном режиме, в начале имени ключа "Startup" можно добавить символы `` (например, `HKLM\Software\Microsoft\Windows\CurrentVersion\Run["Startup"="{Path}"]`). Аналогичного эффекта можно достичь, добавив запись в ключ реестра `HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal`.
DS0009	Процесс: Создание процесса	Отслеживайте запуск новых процессов, которые могут отключить защиту конечных точек в безопасном режиме Windows.
DS0024	Реестр Windows: Изменение ключа реестра Windows	Отслеживайте изменения данных реестра, связанных с включением безопасного режима. К примеру, чтобы служба принудительно запускалась при старте системы в безопасном режиме, в начале имени ключа "Startup" можно добавить символы `` (например, `HKLM\Software\Microsoft\Windows\CurrentVersion\Run["Startup"="{Path}"]`). Аналогичного эффекта можно достичь, добавив запись в ключ реестра `HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal`.
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для изменения параметров загрузки системы, таких как `bcdedit.exe` и `bootcfg.exe`.

Меры противодействия

ID	M1026	Название	Управление привилегированными учетными записями	Описание	Ограничьте круг людей с доступом к учетным записям администраторов, следуя принципу минимальных привилегий. Эти учетные записи могут быть использованы для удаленной загрузки машины в безопасном режиме.

ID	M1054	Название	Изменение конфигурации ПО	Описание	Проследите, чтобы средства защиты конечных точек работали в безопасном режиме.

ID	Название	Описание
M1026	Управление привилегированными учетными записями	Ограничьте круг людей с доступом к учетным записям администраторов, следуя принципу минимальных привилегий. Эти учетные записи могут быть использованы для удаленной загрузки машины в безопасном режиме.
M1054	Изменение конфигурации ПО	Проследите, чтобы средства защиты конечных точек работали в безопасном режиме.