Ключи запуска реестра и папка запуска в Windows - это области, в которых программы настраиваются на автоматический запуск при загрузке системы или входе пользователя в систему. Расположенные в реестре и файловой системе Windows соответственно, эти функции предназначены для удобства пользователей, позволяя приложениям и сценариям инициализироваться сразу при запуске и повышая удобство работы с ними за счет предоставления немедленного доступа к часто используемым программам и службам.
Использование злоумышленниками ключей запуска реестра/папки запуска
Злоумышленники используют ключи запуска Windows и папку запуска (Startup), поскольку эти области реестра контролируют автоматический запуск приложений при входе в систему или загрузке. Манипулируя ими, можно постоянно запускать вредоносные программы, что позволяет злоумышленникам сохранять присутствие на взломанной системе и использовать механизмы легитимного автозапуска процессов.
Эксплуатация ключей Run реестра для повышения стойкости
Добавляя записи в ключи Run, злоумышленники могут выполнять свою полезную нагрузку, обеспечивая активацию своих программ при входе пользователя в систему и наследуя его права для расширенного доступа.
Основными ключами выполнения являются следующие:
| 1 2 3 4 | HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce |
Кроме того, злоумышленники могут использовать устаревшие записи, такие как HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx, для загрузки дополнительных компонентов, включая библиотеки DLL, во время процесса входа в систему. Хотя этот ключ не используется по умолчанию в новых системах Windows, его присутствие в некоторых конфигурациях дает возможность скрытного существования.
Реальные кампании по распространению выкупного ПО иллюстрируют, как злоумышленники используют эти ключи реестра. Например, в отчете CISA, опубликованном в феврале 2024 года, подробно описано, как Phobos ransomware использует такие команды, как Exec.exe или bcdedit[.]exe, чтобы манипулировать системными настройками и поддерживать постоянство. Также было замечено, что Phobos использует папки запуска Windows и ключи реестра Run, такие как C:/Users/Admin/AppData/Local/directory, для обеспечения многократного запуска своей полезной нагрузки.
Аналогичным образом в октябре 2024 года был обнаружен новый вариант вымогательского ПО Medusalocker, демонстрирующий, как злоумышленники настраивают ключи запуска для достижения своих вредоносных целей.
Индикаторы компрометации (IoC), связанные с этим вариантом, включают такие записи, как:
| 1 2 3 | HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BabyLockerKZ HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BabyLockerKZ HKEY_USERS\%SID%\Software\Microsoft\Windows\CurrentVersion\Run\BabyLockerKZ |
Эти случаи свидетельствуют о намерении злоумышленников использовать Run Keys в качестве механизма для внедрения вредоносной полезной нагрузки, обеспечения повторного выполнения и максимального контроля над взломанными системами.
Злоупотребление такими записями является ярким напоминанием о том, как злоумышленники манипулируют встроенными в систему функциями, чтобы обойти обнаружение, закрепить свое присутствие и достичь своих целей, будь то шифрование данных, эксфильтрация или разрушение системы.
Техника папки запуска как вектор стойкости
Злоумышленники часто используют папку запуска Windows как метод достижения стойкости, внедряя свои вредоносные исполняемые файлы в каталоги, автоматически выполняющиеся при входе пользователя в систему. Такая тактика позволяет злоумышленникам обеспечить запуск своих программ без участия пользователя, предоставляя ему надежный доступ к взломанной системе. Папки запуска - особенно эффективный вектор сохранения, поскольку Windows сама проверяет эти места во время входа в систему, что делает этот механизм атаки незаметным и легким.
Windows предоставляет два основных типа папок запуска, каждый из которых служит для различных целей:
| 1 2 3 4 5 | # Индивидуальная папка запуска пользователя C:\Users\[Имя пользователя]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup # Общесистемная папка запуска C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp |
Помещая вредоносные файлы в эти папки, злоумышленники могут обеспечить автоматическое выполнение своей полезной нагрузки каждый раз, когда пострадавший пользователь входит в систему. Это не только продлевает срок жизни вредоносного ПО в среде, но и расширяет его возможности для проведения дальнейших атак под правами скомпрометированного пользователя.
Реальный пример подобной тактики был обнаружен в ноябре 2024 года в отношении вредоносной программы Snake Keylogger. Эта сложная угроза сбрасывала свою полезную нагрузку в пользовательский каталог Startup, расположенный по адресу:
| 1 | C:\Users\<Имя пользователя>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\subpredicate[.]vbs |
Используя такие приемы, злоумышленники могут обойти некоторые механизмы обнаружения и сохранить контроль над взломанными системами.
Постоянное использование папок запуска в качестве вектора распространения вредоносного ПО подчеркивает необходимость защиты этих каталогов и внедрения надежного мониторинга для обнаружения несанкционированных изменений.
Манипулирование реестром для управления запуском и службами
Чтобы еще больше закрепить свое присутствие, злоумышленники могут модифицировать дополнительные ключи реестра, влияющие на элементы папки запуска или контролирующие автоматический запуск служб при загрузке системы. Обычно они изменяют записи в ветвях HKEY_CURRENT_USER и HKEY_LOCAL_MACHINE, влияя на папки пользовательских оболочек и конфигурации запуска служб.
Эти манипуляции затрагивают такие ключи, как:
| 1 2 3 4 | HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices |
Например, при анализе вредоносного ПО, проведенном в декабре 2024 года, была обнаружена техника сохранения вредоносного ПО, использующая ключ реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Run для выполнения файла 7D3ED97FB83B796922796[.]exe, расположенного в каталоге AppData\Roaming, при каждом входе пользователя в систему.
| 1 | HKCU\Software\Microsoft\Windows\CurrentVersion\Run Services C:\Users\user\AppData\Roaming\7D3ED97FB83B796922796\7D3ED97FB83B796922796[.]exe |
Используя этот ключ реестра, вредоносная программа обеспечивает постоянное существование только для текущей учетной записи пользователя, а незаметное расположение и произвольные имена папок/файлов помогают избежать обнаружения.
Выполнение загрузки как метод проникновения
Злоумышленники могут также нацелиться на значение BootExecute в HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager. По умолчанию этот ключ установлен для проверки целостности системы, но может быть использован для запуска дополнительных вредоносных программ или процессов при загрузке системы, обеспечивая их активацию до того, как будут приняты все меры безопасности.
В общем, с помощью этих различных методов злоумышленники стремятся установить и запустить вредоносное ПО, включая средства удаленного доступа, таким образом, чтобы оно пережило перезагрузку системы и ускользнуло от обнаружения. Часто они используют методы маскировки, заставляя свои записи в реестре выглядеть легитимными, чтобы слиться с подлинными системными процессами. Такое стратегическое манипулирование механизмами автозапуска подчеркивает важность бдительного контроля и надежных методов обеспечения безопасности для защиты от постоянных угроз.