🦟 SharpHide: инструмент для создания скрытых ключей реестра — Information Security Squad
🦟 SharpHide: инструмент для создания скрытых ключей реестра

SharpHide

Просто хороший прием, чтобы запутать расследование DFIR.

Использует собственный API-интерфейс NtSetValueKey для создания скрытого (с нулевым символом) ключа реестра.

Это работает путем добавления нулевого байта перед значением ключа UNICODE_STRING.

Инструмент использует следующий путь реестра, в котором он создает скрытый ключ запуска(HKCU, если пользователь, иначе HKLM)\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.”

Техника

НЕВИДИМАЯ УСТОЙЧИВОСТЬ

Вредоносное ПО, работающее без повышенных привилегий в Windows, имеет ограниченные возможности для восстановления работы после перезагрузки системы (так называемое постоянство).

Вредоносное ПО, которое повышает привилегии с использованием эксплойтов нулевого дня или публичных эксплойтов, имеет больше возможностей для сохранения.

Однако нулевые дни стоят дорого, и их использование рискует их раскрытием, а публичные эксплойты не будут работать на исправленных системах.

Большинство вредоносных программ застревает с использованием хорошо известных методов сохранения, которые легко обнаруживаются.

Самый простой метод сохранения — это записать значение в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run (или
аналогичный ключ в HKEY_LOCAL_MACHINE).

Значения этого ключа — команды, которые Windows выполняет, когда пользователь входит в систему (в случае HKEY_CURRENT_USER) или когда он загружается (в случае HKEY_LOCAL_MACHINE).

Вредоносная программа записывает путь к своему исполняемому файлу в ключ Run.

Таким образом, он восстанавливает выполнение после перезагрузки.

Поскольку это общеизвестный метод, подозрительным значением в ключе Run является красный флаг, указывающий на то, что система заражена.

Он также раскрывает местонахождение вредоносного ПО в системе, что делает сбор образцов для анализа очень простым.

БЕЗФАЙЛОВОЕ БИНАРНОЕ ХРАНЕНИЕ

КОНВЕНЦИОНАЛЬНОЕ ХРАНЕНИЕ ФАЙЛОВ НА ДИСКЕ

Антивирусное программное обеспечение сканирует файлы на диске.

Программное обеспечение  антивирус хэширует файлы и отправляет сигнатуры в облако.

Некоторые антивирусы выполняют эвристические проверки файлов, хранящихся на диске.

Подозреваемые файлы вредоносного ПО могут даже быть тихо отправлены в облако.

Чтобы противостоять этому, вредоносные программы имеют несколько вариантов развития.

Файлы на диске могут быть обычными дропперами, которые обращаются к Интернету и загружают более существенные модули (которые загружаются в память, не касаясь диска).

Вредоносные программы также могут создавать исполняемые файлы, хранящиеся на диске, чтобы не отключать антивирусную эвристику.

Например, поскольку антивирус часто сканирует сегменты с высокой энтропией в PE (которые указывают на сжатые или зашифрованные данные), вредоносные программы могут избегать использования шифрования и сжатия для защиты своих исполняемых файлов.

Поскольку антивирус обладает эвристикой, которая сканирует таблицы импорта, вредоносные программы могут избежать импорта подозрительных функций.

Такие контрмеры обременительны для разработчиков вредоносных программ и, в любом случае, не гарантируют, что их двоичные файлы не будут отправлены в облако.

Скачать && Использовать

¯\_(ツ)_/¯

Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *