مهاجمان سایبری پس از دسترسی اولیه به داراییهای سازمان هدف، به منظور حفظ پایداری، طراحی و اجرای حملات مخرب، اقدام به ایجاد Persistence (ماندگاری) در سیستمهای قربانی مینمایند.
Run Keysها در رجیستری سیستمها یک مسیر طلایی و قدیمی هستند که بسیاری از مهاجمان برای ایجاد ماندگاری در شبکه سازمان از آن استفاده مینمایند. تحقیقات سایبری نشان میدهد که استفاده از Registry Run Keys / Startup Folderها، هشتمین تکنیک رایج ATT&CK است که توسط مهاجمین سایبری مورد استفاده قرار میگیرد.
کلید رجیستری Run و RunOnce
از کلیدهای رجیستری Run یا RunOnce برای اجرای برنامه در هنگام ورود کاربر و یا اجرای سیستمعامل استفاده میگردد. کلید Run باعث میشود هر بار که کاربر وارد سیستم میشود برنامه اجرا گردد در حالیکه کلید RunOnce باعث میشود برنامه یکبار اجرا گردد و سپس کلید حذف میشود. این کلیدها را میتوان برای کاربر یا ماشین تنظیم کرد.
کلیدهای رجیستری Run و RunOnce ویندوز شامل چهار کلید زیر است :
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
نکته قابل توجه این است که مهاجمان فایلهای مخرب backdoor خود را در این مسیرها قرار میدهند تا با خاموش و روشن شدن سیستم و یا ورود و خروج هر کاربر دسترسی آنها قطع نگردد و دارای پایداری در سیستم باشد. همچنین قراردادن backdoor در HKEY_LOCAL_MACHINE نشان از دسترسی High Privilage هکر بوده که توانسته است UAC را bypass نماید (User Control Account Bypass).
کلید رجیستری RunServices و RunServicesOnce
این کلیدها شامل ورودیهایی برای سرویسهایی است که در پس زمینه سیستمعامل اجرا و راهاندازی خودکار سرویسها را کنترل مینماید. مهاجمان میتوانند با قراردادن Malwareهایی، سرویسهای background سیستمعامل را با هدفهای خاصی تحت کنترل بگیرند.
- HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
- HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
- HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
- HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
کلید رجیستری Policies
Policy Setting برنامههای startup را تعیین و مورد استفاده قرار داد.
- HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
- HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
کلید رجیستری Winlogon
کلیدهای این رجیستری فعالیتهایی که کاربر هنگام log-on دارد را کنترل مینماید. پردازشهای Windows Logon Application یا همان Winlogon از مهمترین پردازشهای سیستمعامل ویندوز است و بدون این پردازش میتوان گفت ویندوز غیرقابل استفاده است. این پردازش همیشه در Background یا پسزمینه سیستمعامل ویندوز فعالیت میکند و مسئول کارهای مهمی در سیستم است.
- HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
یک مهاجم میتواند userinit.exe را با فایل اجرایی بدافزار تغییر دهد و یا ورودیهای جدیدی که به فایل اجرایی بدافزار اشاره میکند را به این فایل اضافه نماید. بدافزار اجرایی هنگام راه اندازی سیستم، اجرا میگردد.
- HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
این کلید رجیستری به ورودیهای پردازش explorer.exe اشاره مینماید.
- HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
هنگامی که یک Ctrl+Alt+Del زده میشود و یک رویداد Secure Attention Sequence اتفاق میافتد، یک dll بارگیری میگردد و از این کلید رجیستری بمنظور اطلاعدادن به دستهای از هشدارها استفاده میشود. مهاجمان میتوانند این dll را تغییر دهند تا بتوانند بدافزار خود را بارگیری نمایند.
کلید رجیستری BootExecute
مقدار BootExecute در هنگام بوت سیستم مشخص میگردد. اگرچه این کلید دارای مقدار پیشفرض است اما مهاجمان میتوانند دستورات، اسکریپتها و یا برنامههای دیگری را به کلید اضافه نمایند.
- HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager
کلید رجیستری Shell Folders و User Shell Folders
به این کلیدها اصلاحا “startup keys” نیز گفته میشود و مهاجمان از آن به عنوان تنظیم مکان startup folder استفاده میکنند.
- HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
- HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
- HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
- HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
توصیه تیم شکار تهدید شرکت امنپردازان کویر برای جلوگیری از حملات Registry Run Key
لازم است که تیمهای امنیت برای کاهش مخاطرات سایبری و جلوگیری از حملات Registry Run Key، اقدام به ایجاد یک Rule شناسایی در محصول SIEM خود نمایند تا در صورت ایجاد تغییرات در مسیرهای رجیستری اعلامی، هشدار تولید نماید. همچنین لازم است تیم IT، مسیرهای رجیستری اعلامی در گزارش را بر روی سرورها و سیستمهای حیاتی سازمان بازبینی و فایلهای داخل آن را از نظر سلامت بررسی نمایند.
نویسنده: علیرضا شاملو