T1112

تغییر رجیستری

Modify Registry

توضیحات

مهاجمان رجیستری ویندوز را برای پنهان کردن پیکربندی، اجرای کد مخرب و ایجاد پایداری تغییر می‌دهند. رجیستری ویندوز یک پایگاه داده سلسله‌مراتبی است که تنظیمات سیستم و برنامه‌ها را ذخیره می‌کند. مهاجمان می‌توانند از رجیستری برای ذخیره payload، تنظیم autorun و پنهان کردن فعالیت‌ها استفاده کنند.

روش‌های شناسایی

نظارت بر تغییرات رجیستری. شناسایی تغییرات در کلیدهای حساس. بررسی کلیدهای Run و RunOnce. تحلیل تغییرات رجیستری با ابزارهای EDR.

روش‌های مقابله

محدود کردن دسترسی به رجیستری. نظارت بر تغییرات کلیدهای حساس. استفاده از Registry Auditing. پیاده‌سازی حداقل سطح دسترسی. بررسی منظم کلیدهای autorun.