Сфокусированы только на тех методах, которые реже звучат в учебниках и ещё не фигурировали в предыдущих шпаргалках.
| OS | Техника | Что происходит | Кто применял (APT / малварь) | Как заметить |
|---|---|---|---|---|
| Windows | COM Hijack – ElevatedProductInstall CLSID | Создают CLSID {3F6BC534-DFA8-11D4-A981-00B0D022E945} в HKCR и указывают свою DLL в InprocServer32; запускается при каждом UAC‑elevate приложения MSI. |
FIN7 («Carbanak 2021»); OilRig «RDAT». | Reg‑дифф HKCR\CLSID.*, Sysmon 22 (Registry add), DLL load из нетипового каталога. |
| Windows | Print Monitor Backdoor | Ключ HKLM\\SYSTEM\\CurrentControlSet\\Control\\Print\\Monitors\\MyMon → Driver=evil.dll; служба Spooler грузит DLL после перезагрузки. |
Lazarus «GhostSeparation»; APT41. | Event 7030 Spooler, Sysmon 7 DLL в spool folder, Get‑PrinterDriver diff. |
| Windows | LSA Security Package Injection | Добавляют своё DLL‑имя в HKLM\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\Security Packages; Lsass.exe загружает при старте системы. |
Turla «Carbon Framework». | New value in LSA key, lsass.exe ImageLoad unusual path. |
| Windows | BHO (Browser Helper Object) Hijack | Ключ HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Browser Helper Objects\\{GUID} → InprocServer32 = DLL; IE/legacy Edge грузит при каждом запуске. |
Equation Group «DoubleFantasy». | Shell Extension load in iexplore.exe, CLSID not signed. |
| Windows | EFI Bootkit – ESP implant | Модифицируют EFI System Partition, подменяя bootx64.efi; выполняется до OS, переживает reinstall. |
Sednit (APT28) «LoJax». | Secure Boot alerts, changed ESP checksum, unexpected file timestamp in /EFI/Microsoft/Boot/. |
| Linux | systemd user service override | Файл ~/.config/systemd/user/ssh.service.d/override.conf → ExecStart=/usr/bin/payload; автостарт при пользовательской сессии. |
SeaDuke (APT29) on Linux desktops. | systemctl --user list-units, new override dirs, journalctl --user. |
| Linux | DBus service in $HOME | Создают ~/.local/share/dbus-1/services/com.update.conf → Exec=/usr/bin/payload; автозапуск при обращении к сервису. |
Turla «Glibc‑Backdoor 2022». | dbus-monitor, new .service files outside /usr, exec path anomalies. |
| Linux | LD Audit Hook | Указывают LD_AUDIT=/usr/lib/libaudit.so в /etc/ld.so.preload; библиотека перехватывает все вызовы execve. |
Rocke Group coin‑miners. | env var diff, ldd shows audit, strings in /etc/ld.so.preload. |
| Linux | Udev Rule – Net hook | Rule ACTION=="add", SUBSYSTEM=="net", RUN+="/usr/bin/payload"; срабатывает при поднятии сетевого интерфейса. |
Equation Group USB worm. | udevadm info --query=all, new file in /etc/udev/rules.d. |
| Linux | Gnome Shell Extension Backdoor | Заливают .local/share/gnome-shell/extensions/faker@evil/z.js; JS исполняется при загрузке рабочего стола. |
XSLCmd (APT10) on Fedora. | gnome-extensions list, unusual UUID, outbound connections from gjs. |