Дополняем список редкими закрепами, которые встречались «в дикой природе», но редко попадают в учебники.
OS | Техника | Что происходит | Кто применял (APT / malware) | Ключ‑путь / ключ‑реестр | Как заметить |
---|---|---|---|---|---|
Windows | WNF Backdoor (State Name hijack) | Создают скрытое WNF_STATE_NAME и подписываются на него; при событии исполняется shell‑код в воркере. | APT41 «LowKey», PoC GhostWNF | NtUpdateWnfStateData → custom GUID |
Sysmon 18 + Win32k WNF log; DLL из нестандартного каталога. |
Windows | Application Shim (SDB) Exec | SDB‑файл RedirectEXE (или CommandLine ) регистрируют через sdbinst ; при запуске легит EXE грузится payload. |
FIN7 «HuntingForward» 2023 | %WINDIR%\\AppPatch\\Custom\\*.sdb |
Новый .sdb; Reg HKLM…InstalledSDB ; sdbinst.exe в журналах. |
Windows | Netsh Helper DLL | netsh add helper evil.dll ; каждая команда netsh вызывает DLL. |
Turla «Glimmer Lama» | HKLM\\SOFTWARE\\Microsoft\\NetSh |
Sysmon 7 DLL в каталоге %AppData%; netsh.exe ImageLoad. |
Windows | AppCertDlls Injection | HKLM\\…\\AppCertDlls → evil.dll ; любая CreateProcess загружает DLL. |
APT28 toolset «Jynios» | AppCertDlls value | ImageLoad в lsass / csrss из неизвестного пути. |
Windows | Safe Mode Run (SafeBoot key) | Записывают сервис в HKLM\\…\\SafeBoot\\Network → старт даже в Safe Mode. |
Lazarus «FudModule» 2022 | SafeBoot subkey | Service виден только в SafeBoot; RegDiff. |
Windows | SSP DLL (Security Support Provider) | Добавляют своё DLL имя в HKLM\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\Security Packages ; lsass загружает при старте. |
Turla «Carbon» | LSA\Security Packages | Event 10 (LSA package loaded), lsass ImageLoad path. |
Windows | BootExecute Hijack | Правка BootExecute в HKLM\\SYSTEM\\CurrentControlSet\\Control\\Session Manager (добавляют cmd.exe /c payload ) → запуск до логина. |
Winnti «Loobu» bootkit | BootExecute value diff | 39xx Session Manager events; abnormal cmd in boot phase. |
Linux | systemd Path Unit | backup.path + backup.service ; Path unit следит за появлением триггер‑файла и запускает payload. |
Mustang Panda 2024 | /etc/systemd/system/*.path |
systemctl list-units --type=path ; journal trigger. |
Linux | NetworkManager Dispatcher Script | Скрипт /etc/NetworkManager/dispatcher.d/90-net.sh – выполняется при смене интерфейса. |
OilRig «Marlin» | dispatcher.d | NM‑dispatcher logs; exec path в ps. |
Linux | /etc/ld.so.cache Poisoning | Перезаписывают ld.so.cache , перенаправляя libc.so.6 → бэкдор; все ELF загружают его. |
Winnti «HighNoon» 2023 | /etc/ld.so.cache |
ldconfig -C показывает чужую либу; checksum mismatch. |
Linux | OverlayFS Rootkit | Монтируют OverlayFS поверх /usr/bin ; upperdir содержит изменённые бинарники. |
WildPositron miner | `mount | grep overlay` |
Linux | SystemTap Probe | .stp в /usr/share/systemtap/tapset/ → компилируют в ko; перехватывает sys_execve , инжектит код. |
Turla «KernelStab» | /usr/share/systemtap/tapset/*.stp |
New kernel module, staprun proc; /var/log/stap . |
Linux | polkit Rule Abuse | Кладут файл /usr/share/polkit-1/rules.d/99-persistence.rules с polkit.addRule(function(){ return polkit.Result.YES; }); → тихий root для dbus‑действий. |
Wizard Spider »Trickbot persistence» | polkit rules dir | pkaction --verbose ; file owner ≠ root pkg. |
Linux | DBus User Service | ~/.local/share/dbus-1/services/com.update.service → Exec=/usr/bin/payload ; запускается при запросе сервиса. |
Turla «Glibc‑Backdoor» | user dbus services path | dbus-monitor ; new .service in home dir. |
Linux | Bash Loadable Builtin | Компилируют .so , добавляют в /etc/bash.bashrc enable -f /tmp/libxxx.so xx ; каждый инт. bash загружает so. |
Rocke miner (2019) | /etc/bash.bashrc diff |
enable -f lines; lsof shows bash loading tmp lib. |