ТЕХНІЧНИЙ ОПИС

Зловмисники можуть налаштовувати системні параметри для автоматичного виконання програми під час завантаження системи або входу користувача, щоб підтримувати стійкість (Persistence) або отримувати привілеї вищого рівня на скомпрометованих системах. Операційні системи мають механізми для автоматичного запуску програми під час завантаження системи або входу в обліковий запис.

Ці механізми можуть включати автоматичне виконання програм, розміщених у спеціально призначених каталогах або на які посилаються репозиторії, що зберігають конфігураційну інформацію, такі як реєстр Windows. Зловмисник може досягти тієї ж мети, модифікуючи або розширюючи функції ядра.

Оскільки деякі програми автозапуску під час завантаження або входу працюють з вищими привілеями, зловмисник може використовувати їх для підвищення власних привілеїв (Privilege Escalation).

Найпоширеніші методи автозапуску:

  • Реєстр Windows (Run Keys): Додавання запису в HKLM або HKCU…\Run. Це «класика» закріплення, де програма запускається при кожному вході користувача.
  • Папка ‘Startup’: Розміщення виконуваного файлу або ярлика в директорії C:\Users[Username]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup.
  • Модифікація ярликів: Зловмисник змінює поле «Об’єкт» у ярлику браузера або офісної програми (наприклад, на робочому столі), додаючи туди команду запуску свого скрипту перед запуском самої програми.
  • Winlogon: Модифікація ключа Userinit у реєстрі, що дозволяє запускати шкідливий код одночасно з легітимним процесом входу користувача в систему.

Чому це критично?

  • Безперервність атаки: Без автозапуску зловмисник втрачає доступ до комп’ютера після першого ж перезавантаження (наприклад, після встановлення оновлень ОС).
  • Маскування: Існує сотні легітимних точок автозапуску, і знайти серед них одну шкідливу команду без спеціальних інструментів (наприклад, Autoruns від Sysinternals) дуже важко.