Куда я попал?
Злоумышленник может изменить реестр Windows, с целью сокрытия или удаления веток и значений реестра, как часть тактик закрепления, выполнения или очистки после компрометации.
Изменения реестра могут включать действия по сокрытию ключей, такие как добавление перед именами ключей нулевого символа, что приведет к ошибке и/или будет проигнорировано при чтении через Reg или другие утилиты с использованием Win32 API. Злоумышленники могут использовать псевдо-скрытые ключи, чтобы скрыть команды, используемые для закрепления в скомпрометированной системе.
Реестр удаленной ОС Windows также может быть изменен для облегчения выполнения файлов в рамках горизонтального перемещения.
Изменения реестра могут включать действия по сокрытию ключей, такие как добавление перед именами ключей нулевого символа, что приведет к ошибке и/или будет проигнорировано при чтении через Reg или другие утилиты с использованием Win32 API. Злоумышленники могут использовать псевдо-скрытые ключи, чтобы скрыть команды, используемые для закрепления в скомпрометированной системе.
Реестр удаленной ОС Windows также может быть изменен для облегчения выполнения файлов в рамках горизонтального перемещения.
Связанные риски
| Риск | Связи | |
|---|---|---|
|
Обход систем защиты из-за
возможности изменения реестра Windows в ОС Windows
Повышение привилегий
Целостность
|