Дополняем список редкими закрепами, которые встречались «в дикой природе», но редко попадают в учебники.
| OS | Техника | Что происходит | Кто применял (APT / malware) | Ключ‑путь / ключ‑реестр | Как заметить |
|---|---|---|---|---|---|
| Windows | WNF Backdoor (State Name hijack) | Создают скрытое WNF_STATE_NAME и подписываются на него; при событии исполняется shell‑код в воркере. | APT41 «LowKey», PoC GhostWNF | NtUpdateWnfStateData → custom GUID |
Sysmon 18 + Win32k WNF log; DLL из нестандартного каталога. |
| Windows | Application Shim (SDB) Exec | SDB‑файл RedirectEXE (или CommandLine) регистрируют через sdbinst; при запуске легит EXE грузится payload. |
FIN7 «HuntingForward» 2023 | %WINDIR%\\AppPatch\\Custom\\*.sdb |
Новый .sdb; Reg HKLM…InstalledSDB; sdbinst.exe в журналах. |
| Windows | Netsh Helper DLL | netsh add helper evil.dll; каждая команда netsh вызывает DLL. |
Turla «Glimmer Lama» | HKLM\\SOFTWARE\\Microsoft\\NetSh |
Sysmon 7 DLL в каталоге %AppData%; netsh.exe ImageLoad. |
| Windows | AppCertDlls Injection | HKLM\\…\\AppCertDlls → evil.dll; любая CreateProcess загружает DLL. |
APT28 toolset «Jynios» | AppCertDlls value | ImageLoad в lsass / csrss из неизвестного пути. |
| Windows | Safe Mode Run (SafeBoot key) | Записывают сервис в HKLM\\…\\SafeBoot\\Network → старт даже в Safe Mode. |
Lazarus «FudModule» 2022 | SafeBoot subkey | Service виден только в SafeBoot; RegDiff. |
| Windows | SSP DLL (Security Support Provider) | Добавляют своё DLL имя в HKLM\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\Security Packages; lsass загружает при старте. |
Turla «Carbon» | LSA\Security Packages | Event 10 (LSA package loaded), lsass ImageLoad path. |
| Windows | BootExecute Hijack | Правка BootExecute в HKLM\\SYSTEM\\CurrentControlSet\\Control\\Session Manager (добавляют cmd.exe /c payload) → запуск до логина. |
Winnti «Loobu» bootkit | BootExecute value diff | 39xx Session Manager events; abnormal cmd in boot phase. |
| Linux | systemd Path Unit | backup.path + backup.service; Path unit следит за появлением триггер‑файла и запускает payload. |
Mustang Panda 2024 | /etc/systemd/system/*.path |
systemctl list-units --type=path; journal trigger. |
| Linux | NetworkManager Dispatcher Script | Скрипт /etc/NetworkManager/dispatcher.d/90-net.sh – выполняется при смене интерфейса. |
OilRig «Marlin» | dispatcher.d | NM‑dispatcher logs; exec path в ps. |
| Linux | /etc/ld.so.cache Poisoning | Перезаписывают ld.so.cache, перенаправляя libc.so.6 → бэкдор; все ELF загружают его. |
Winnti «HighNoon» 2023 | /etc/ld.so.cache |
ldconfig -C показывает чужую либу; checksum mismatch. |
| Linux | OverlayFS Rootkit | Монтируют OverlayFS поверх /usr/bin; upperdir содержит изменённые бинарники. |
WildPositron miner | `mount | grep overlay` |
| Linux | SystemTap Probe | .stp в /usr/share/systemtap/tapset/ → компилируют в ko; перехватывает sys_execve, инжектит код. |
Turla «KernelStab» | /usr/share/systemtap/tapset/*.stp |
New kernel module, staprun proc; /var/log/stap. |
| Linux | polkit Rule Abuse | Кладут файл /usr/share/polkit-1/rules.d/99-persistence.rules с polkit.addRule(function(){ return polkit.Result.YES; }); → тихий root для dbus‑действий. |
Wizard Spider »Trickbot persistence» | polkit rules dir | pkaction --verbose; file owner ≠ root pkg. |
| Linux | DBus User Service | ~/.local/share/dbus-1/services/com.update.service → Exec=/usr/bin/payload; запускается при запросе сервиса. |
Turla «Glibc‑Backdoor» | user dbus services path | dbus-monitor; new .service in home dir. |
| Linux | Bash Loadable Builtin | Компилируют .so, добавляют в /etc/bash.bashrc enable -f /tmp/libxxx.so xx; каждый инт. bash загружает so. |
Rocke miner (2019) | /etc/bash.bashrc diff |
enable -f lines; lsof shows bash loading tmp lib. |