T1112: МОДИФІКАЦІЯ РЕЄСТРУ
Зловмисники взаємодіють з реєстром Windows для приховування шкідливого коду, закріплення в системі або вимкнення засобів захисту. Реєстр використовується як сховище для налаштувань, шкідливих скриптів (безфайлові атаки) та конфігурацій, що дозволяють обходити політики безпеки, наприклад, дозволяти запуск макросів в Office або зберігати паролі у відкритому вигляді в пам'яті.
ТЕХНІЧНИЙ ОПИС
Зловмисники можуть взаємодіяти з реєстром Windows у рамках низки інших технік для допомоги в ухиленні від захисту (Defense Evasion), закріпленні (Persistence) та виконанні (Execution).
Доступ до певних областей реєстру залежить від дозволів облікового запису, причому деякі ключі вимагають доступу рівня адміністратора. Вбудована командна утиліта Windows reg.exe може використовуватися для локальної або віддаленої модифікації реєстру. Інші інструменти, такі як засоби віддаленого доступу (RAT), також можуть містити функціонал для взаємодії з реєстром через Windows API.
Реєстр може бути модифікований з метою приховування конфігураційної інформації або шкідливих навантажень за допомогою техніки Obfuscated Files or Information (обфускація файлів або інформації). Реєстр також може бути змінений для пошкодження захисту (Impair Defenses), наприклад, шляхом дозволу макросів для всіх продуктів Microsoft Office, що дозволяє підвищувати привілеї без попередження користувача, збільшення максимальної кількості дозволених вихідних запитів та/або модифікації систем для зберігання паролів у відкритому вигляді в пам’яті.
Реєстр віддаленої системи може бути модифікований для допомоги у виконанні файлів у рамках горизонтального переміщення (Lateral Movement). Це вимагає, щоб на цільовій системі працювала служба віддаленого реєстру (Remote Registry). Часто потрібні дійсні облікові дані разом із доступом до адміністративних папок SMB/Windows Admin Shares для зв’язку через RPC.
Нарешті, модифікації реєстру можуть включати дії щодо приховування ключів, наприклад, додавання символу ‘null’ на початку імен ключів, що призведе до помилки та/або ігнорування при читанні через reg.exe або інші утиліти, що використовують Win32 API. Зловмисники можуть зловживати цими псевдоприхованими ключами для приховування навантажень/команд, що використовуються для підтримки стійкості.
Як зловмисники використовують реєстр?
- Автозапуск: Класичні ключі Run та RunOnce для запуску вірусів після перезавантаження.
- Зберігання коду: Розміщення великих PowerShell-скриптів прямо в значеннях ключів реєстру. Це дозволяє атакувати систему «без файлів» на диску.
- Вимкнення логів: Модифікація параметрів EventLog, щоб система перестала записувати дії зловмисника.
- Зберігання паролів: Зміна параметра WDigest (у старих версіях Windows), що змушує систему зберігати паролі користувачів у пам’яті в текстовому (незашифрованому) вигляді.
Як виявити?
- Sysmon: Моніторинг подій RegistryEvent (ID 12, 13, 14) для відстеження створення та зміни ключів.
- Аналіз аномалій: Пошук дуже довгих значень у ключах реєстру або ключів з нечитабельними назвами (обфускація).
- Контроль доступу: Обмеження прав на редагування критичних гілок реєстру для звичайних користувачів.