Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности,
которая автоматизирует ключевые процессы управления:
контроль соответствия требованиям, управление рисками, учет активов, планирование работ,
задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
Угроза
Обход систем защиты
из-за уязвимости
Возможность изменения реестра Windows
в Активе
ОС Windows
Описание угрозы
Чтобы избежать обнаружения во время компрометации инфраструктуры злоумышленники могут попытаться обойти действующие системы защиты. Системы защиты можно обойти через удаление / отключение программного обеспечения безопасности, обфускацию / шифрование данных и сценариев. Злоумышленники также могут использовать надежные процессы, чтобы скрыть и замаскировать свои вредоносные программы.
Описание уязвимости
Злоумышленник может изменить реестр Windows, с целью сокрытия или удаления веток и значений реестра, как часть тактик закрепления, выполнения или очистки после компрометации.
Изменения реестра могут включать действия по сокрытию ключей, такие как добавление перед именами ключей нулевого символа, что приведет к ошибке и/или будет проигнорировано при чтении через Reg или другие утилиты с использованием Win32 API. Злоумышленники могут использовать псевдо-скрытые ключи, чтобы скрыть команды, используемые для закрепления в скомпрометированной системе.
Реестр удаленной ОС Windows также может быть изменен для облегчения выполнения файлов в рамках горизонтального перемещения.
Изменения реестра могут включать действия по сокрытию ключей, такие как добавление перед именами ключей нулевого символа, что приведет к ошибке и/или будет проигнорировано при чтении через Reg или другие утилиты с использованием Win32 API. Злоумышленники могут использовать псевдо-скрытые ключи, чтобы скрыть команды, используемые для закрепления в скомпрометированной системе.
Реестр удаленной ОС Windows также может быть изменен для облегчения выполнения файлов в рамках горизонтального перемещения.
Описание типа актива
Microsoft Windows любых версий
Область действия: Вся организация
Объекты атаки
Средство защиты информации
Классификация
КЦД:
Целостность
?
STRIDE:
Повышение привилегий
?
Источники угрозы
Внешний нарушитель -
Средний потенциал
?
Внутренний нарушитель -
Средний потенциал
?
Техники ATT@CK:
T1112
Modify Registry
Adversaries may interact with the Windows Registry to hide configuration information within Registry keys, remove information as...
Связанные защитные меры
Ничего не найдено