Search
Menu

شکار هوشمند تهدیدات – استفاده از Registry Run Key توسط مهاجمین سایبری

استفاده از Registry Run Key توسط مهاجمین

مهاجمان سایبری پس از دسترسی اولیه به دارایی‌های سازمان هدف، به منظور حفظ پایداری، طراحی و اجرای حملات مخرب، اقدام به ایجاد Persistence (ماندگاری) در سیستم‌های قربانی می‌نمایند.

Run Keysها در رجیستری سیستم‌ها یک مسیر طلایی و قدیمی هستند که بسیاری از مهاجمان برای ایجاد ماندگاری در شبکه سازمان از آن استفاده می‌نمایند. تحقیقات سایبری نشان می‌دهد که استفاده از Registry Run Keys / Startup Folder‌ها، هشتمین تکنیک رایج ATT&CK است که توسط مهاجمین سایبری مورد استفاده قرار می‌گیرد.

 کلید رجیستری Run و RunOnce

از کلیدهای رجیستری Run یا RunOnce برای اجرای برنامه در هنگام ورود کاربر و یا اجرای سیستم‌عامل استفاده می‌گردد. کلید Run باعث می‌شود هر بار که کاربر وارد سیستم می‌شود برنامه اجرا گردد در حالیکه کلید RunOnce باعث می‌شود برنامه یکبار اجرا گردد و سپس کلید حذف می‌شود. این کلیدها را میتوان برای کاربر یا ماشین تنظیم کرد.

کلیدهای رجیستری Run و RunOnce ویندوز شامل چهار کلید زیر است :

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

نکته قابل توجه این است که مهاجمان فایل‌های مخرب backdoor خود را در این مسیرها قرار می‌دهند تا با خاموش و روشن شدن سیستم و یا ورود و خروج هر کاربر دسترسی آنها قطع نگردد و دارای پایداری در سیستم باشد. همچنین قراردادن backdoor در HKEY_LOCAL_MACHINE نشان از دسترسی High Privilage هکر بوده که توانسته است UAC را bypass نماید (User Control Account Bypass).

 کلید رجیستری RunServices و RunServicesOnce

این کلیدها شامل ورودی‌هایی برای سرویس‌هایی است که در پس زمینه سیستم‌عامل اجرا و راه‌اندازی خودکار سرویس‌ها را کنترل می‌نماید. مهاجمان می‌توانند با قراردادن Malwareهایی، سرویس‌های background سیستم‌عامل را با هدف‌های خاصی تحت کنترل بگیرند.

  • HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
  • HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
  • HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
  • HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

 کلید رجیستری Policies

Policy Setting برنامه‌های startup را تعیین و مورد استفاده قرار داد.

  • HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

 کلید رجیستری Winlogon

کلیدهای این رجیستری فعالیت‌هایی که کاربر هنگام log-on دارد را کنترل می‌نماید. پردازش‌های Windows Logon Application یا همان Winlogon از مهم‌ترین پردازش‌های سیستم‌عامل ویندوز است و بدون این پردازش میتوان گفت ویندوز غیرقابل استفاده است. این پردازش همیشه در Background یا پس‌زمینه سیستم‌عامل ویندوز فعالیت می‌کند و مسئول کارهای مهمی در سیستم است.

  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

یک مهاجم می‌تواند userinit.exe را با فایل اجرایی بدافزار تغییر دهد و یا ورودی‌های جدیدی که به فایل اجرایی بدافزار اشاره می‌کند را به این فایل اضافه نماید. بدافزار اجرایی هنگام راه اندازی سیستم، اجرا می‌گردد.

  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

        این کلید رجیستری به ورودی‌های پردازش explorer.exe اشاره می‌نماید.

  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

هنگامی که یک Ctrl+Alt+Del زده می‌شود و یک رویداد Secure Attention Sequence اتفاق می‌افتد، یک dll بارگیری می‌گردد و از این کلید رجیستری بمنظور اطلاع‌دادن به دسته‌ای از هشدارها استفاده می‌شود. مهاجمان می‌توانند این dll را تغییر دهند تا بتوانند بدافزار خود را بارگیری نمایند.

 کلید رجیستری BootExecute

مقدار BootExecute در هنگام بوت سیستم مشخص می‌گردد. اگرچه این کلید دارای مقدار پیش‌فرض است اما مهاجمان می‌توانند دستورات، اسکریپت‌ها و یا برنامه‌های دیگری را به کلید اضافه نمایند.

  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager

 کلید رجیستری Shell Folders و User Shell Folders

به این کلیدها اصلاحا “startup keys” نیز گفته می‌شود و مهاجمان از آن به عنوان تنظیم مکان startup folder استفاده می‌کنند.

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
  • HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
  • HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

  توصیه تیم شکار تهدید شرکت امن‌پردازان کویر برای جلوگیری از حملات Registry Run Key

لازم است که تیم‌های امنیت برای کاهش مخاطرات سایبری و جلوگیری از حملات Registry Run Key، اقدام به ایجاد یک Rule شناسایی در محصول SIEM خود نمایند تا در صورت ایجاد تغییرات در مسیرهای رجیستری اعلامی، هشدار تولید نماید. همچنین لازم است تیم IT، مسیرهای رجیستری اعلامی در گزارش را بر روی سرورها و سیستم‌های حیاتی سازمان بازبینی و فایل‌های داخل آن را از نظر سلامت بررسی نمایند.

نویسنده: علیرضا شاملو

کاتالوگ امن پردازان کویر
گزارش امنیتی
ایمیل خود را وارد کنید و عضو خبرنامه شوید.

آخرین اخبار

مقالات سایت

درباره شرکت

محصولات

خدمات

مقالات و منابع

ایمیل خود را وارد کنید تا از آخرین اخبار دنیای امنیت مطلع گردید.

تماس با ما
Telegram-plane Instagram Linkedin Eaparat

Info@apk-group.net

۴۲۲۷۳ - ۰۲۱

۳۶۲۹۰۹۹۰ - ۰۳۵

۴۵۸۱۲۳۹۶ (۰۲۱)

۳۶۲۹۰۹۹۲ (۰۳۵)

تهران - خیابان شهید بهشتی، خیابان صابونچی، کوچه ادایی، پلاک ۲، طبقه اول

یزد - خیابان شهید دکتر چمران، روبـروی کارخانه درخشان

تمامی حقوق وبسایت متعلق به شرکت امن‌پردازان کویر (APK) است.

Start typing to see posts you are looking for.

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

جهت دانلود کاتالوگ شرکت همین حالا فرم را تکمیل نمایید.

جهت دانلود گزارش امنیتی 2023 همین حالا فرم را تکمیل نمایید.

در دنیای امنیت چه خبر؟
جهت دریافت آخرین اخبار دنیای امنیت شبکه و اطلاعات ایمیل خود را وارد کنید.