Мобильная версияЯ запускал события «Постоянство реестра», которые могут быть связаны с присутствием вредоносного ПО.
Вот правило Yara, которое я пытался активировать из событий Sysmon (канал просмотра событий)
Код: Выделить всё
rule RegistryPersistence
{
strings:
$CommandLine = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce"
condition:
$CommandLine
}
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce /v 0 /d C:\temp\malicious.dll
Я пытался используйте "SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce*", но ничего не изменилось.
Однако, если я укажу $CommandLine = "reg.exe", я получу событие, инициируемое, как ожидалось.
Любая помощь будет очень признательна в этот момент.
Событие из средства просмотра событий:
Создание процесса: RuleName: - UtcTime: 2023-04-24 21:07:52.827
ProcessGuid: {f3ae464f-efa8-6446-1104-000000000e00} ProcessID: 11916
Изображение: C:\Windows\System32\reg.exe Версия файла: 10.0.17763.1
(WinBuild.160101.0800) Описание: Инструмент консоли реестра Продукт:
Операционная система Microsoft® Windows® Компания: Microsoft Corporation
Исходное имя файла: reg.exe Командная строка: «C:\Windows\system32\reg.exe»
добавьте HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce /v 0 /d
C:\temp\malicious.dll CurrentDirectory: C:\Windows\system32\ Пользователь:
DESKTOP-D577HXY\Tester LogonGuid:
{f3ae464f-df1a-6446-3085-c10000000000} LogonId: 0xC18530
TerminalSessionId: 1 Уровень целостности: высокие хэши:
SHA256=19316D4266D0B776D9B2A05D5903D8CBC8F0EA1520E9C2A7E6D5960B6FA4DCAF
ParentProcessGuid: {f3ae464f-df1b-6446-4c03-000000000e00}
ParentProcessId: 10264 ParentImage:
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
ParentCommandLine:
"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"
ParentUser: DESKTOP-D577HXY\Тестер
Подробнее здесь: https://stackoverflow.com/questions/761 ... dows-event
