Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
 

Возможность загрузки произвольных библиотек Port Monitors

Злоумышленники могут использовать Port Monitors для запуска вредоносной библиотеки DLL во время загрузки системы для закрепления в инфраструктуре или повышения привилегий. 
Монитор портов может быть установлен злоумышленником с помощью вызова API AddMonitor, вредоносный процесс будет выполнен с разрешениями встроенной учетной записи СИСТЕМА. При наличии соответствующих разрешений существует возможность загрузить произвольную библиотеку DLL указав путь в разделе реестра:
 HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors

Каталоги

Техники ATT@CK:
T1547.010 Boot or Logon Autostart Execution: Port Monitors
Adversaries may use port monitors to run an adversary supplied DLL during system boot for persistence or privilege escalation. A...

Связанные риски