Active Setup (Активная установка) в Windows предназначена для автоматического выполнения определенных программ или скриптов при входе пользователя в систему, в основном для настройки пользовательских профилей при первом входе. Возможность запуска кода для каждого пользовательского профиля делает ее привлекательной для злоумышленников, которые используют эту функцию для постоянного и скрытного выполнения вредоносной полезной нагрузки во всех учетных записях пользователей.
Использование злоумышленниками Active Setup
Злоумышленники часто используют механизм Windows Active Setup для достижения постоянства в целевой системе. Active Setup - это легитимная функция Windows, предназначенная для выполнения программ при первом входе пользователя в систему. Создав пользовательский ключ реестра под:
| 1 | HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{GUID} |
и указав в значении StubPath путь к вредоносному исполняемому файлу, злоумышленники обеспечивают выполнение программы при каждом входе пользователя в систему. Это позволяет вредоносной полезной нагрузке запускаться под правами пользователя, наследуя его уровень привилегий.
Например, в образце вредоносного ПО, проанализированном в январе 2024 года в среде «песочницы», был замечен вредоносный путь StubPath, указывающий на:
| 1 2 | C:\Program Files\Chromnius\Application\118.0.5951.0\Installer\chrmstp.exe --configure-user-settings --verbose-logging --system-level |
Еще один пример - троян Poisonivy, который использует эту технику для сохранения работоспособности. Обнаруженный антивирусом Microsoft Defender как Backdoor:Win32/Poisonivy.E, Poisonivy известен возможностями несанкционированного доступа и контроля. Он модифицирует реестр для обеспечения автоматического выполнения:
| 1 | reg add "HKLM\Software\Microsoft\Active Setup\Installed Components\<CLSID>" /v "StubPath" /d "c:\windows:svvchost.exe" /f |
Эта команда добавляет значение StubPath, указывающее на c:\windows:svvchost.exe, вредоносный исполняемый файл. Когда пользователь входит в систему, этот исполняемый файл автоматически запускается, позволяя Poisonivy сохранять постоянство и контроль над машиной. Далее троян скрывает свое присутствие, внедряясь в такие процессы, как iexplore.exe, обходя обнаружение брандмауэра и выполняя команды, полученные с удаленного сервера.
Техника атаки Active Setup, характеризующаяся злоупотреблением присущими системе функциями, представляет собой серьезную проблему для борьбы с ней с помощью превентивных мер. Поскольку она использует законные функции и процессы операционной системы, отличить нормальное использование от вредоносного становится сложно. Стандартные превентивные меры не могут эффективно противостоять этой тактике, не оказывая потенциального влияния на регулярную работу системы, что требует более тонкого подхода к обнаружению и реагированию.