T1112
تغییر رجیستری
Modify Registryتوضیحات
مهاجمان رجیستری ویندوز را برای پنهان کردن پیکربندی، اجرای کد مخرب و ایجاد پایداری تغییر میدهند. رجیستری ویندوز یک پایگاه داده سلسلهمراتبی است که تنظیمات سیستم و برنامهها را ذخیره میکند. مهاجمان میتوانند از رجیستری برای ذخیره payload، تنظیم autorun و پنهان کردن فعالیتها استفاده کنند.
روشهای شناسایی
نظارت بر تغییرات رجیستری. شناسایی تغییرات در کلیدهای حساس. بررسی کلیدهای Run و RunOnce. تحلیل تغییرات رجیستری با ابزارهای EDR.
روشهای مقابله
محدود کردن دسترسی به رجیستری. نظارت بر تغییرات کلیدهای حساس. استفاده از Registry Auditing. پیادهسازی حداقل سطح دسترسی. بررسی منظم کلیدهای autorun.