Certified Security Operations Center GmbH

25. August 2023

Import von Registry-Schlüsseln aus einer Datei: Schwere Systemschäden möglich

Der Import von Registry-Schlüsseln aus einer Datei kann eine Bedrohung für die Sicherheit eines Unternehmens darstellen und bedarf daher einer sorgfältigen Untersuchung sowie geeigneter Gegenmaßnahmen. Gerne möchten wir heute vorstellen, wie ein solcher Angriff genau funktioniert und wie Sie sich davor schützen können.

Ein Angriff dieser Art funktioniert, indem Angreifer schädlichen Code in eine Registry-Datei (.reg) einbetten und diese dann in die Windows-Registry importieren. Im aktuellen Fall wurde die folgende Datei vom Nutzer NT-AUTORITÄT\SYSTEM importiert:

C:\\Windows\\system32\\cmd.exe /c regedit /s C:\\Packages\\SystemSettings.reg

Der Befehl wurde über die Windows-Kommandozeile (cmd.exe) ausgeführt und nutzte das „regedit“-Tool, um die Datei „SystemSettings.reg“ in die Registry zu importieren. Das „/s“-Argument in dem Befehl erlaubt die Ausführung eines stillschweigenden Imports. Das bedeutet, der Benutzer erhält darüber keine Benachrichtigungen.

System-Kompromittierung droht

Die Registry eines Windows-Systems speichert eine Vielzahl wichtiger Informationen, darunter System- und Anwendungseinstellungen sowie Benutzerprofile. Das Überschreiben dieser Informationen durch den Import einer .reg-Datei kann zu unerwünschten Änderungen und potenziellen Systeminstabilitäten führen. Enthält die importierte .reg-Datei schädlichen Code, kann es außerdem zu einer Kompromittierung des Systems kommen.

Handlungsempfehlungen

Wir empfehlen zum Schutz folgende Maßnahmen:

  • Überprüfen Sie, ob die Datei „SystemSettings.reg“ berechtigt importiert wurde und ob die darin enthaltenen Änderungen wunschgemäß sind.
  • Limitieren Sie die Berechtigungen zum Importieren von Registry-Dateien auf die minimal notwendigen Benutzer und stellen Sie sicher, dass diese entsprechend geschult sind, sodass sie bösartige Aktivitäten erkennen.
  • Überwachen Sie regelmäßig Ihre Systemprotokolle auf Anzeichen ungewöhnlicher oder verdächtiger Aktivitäten. Ein unerwarteter Import von Registry-Schlüsseln kann auf einen Angriff hindeuten.
  • Implementieren Sie starke Antiviren- und Intrusion-Detection-Systeme, um potenzielle Bedrohungen frühzeitig zu erkennen.
  • Aktualisieren Sie regelmäßig Ihre Systeme und Anwendungen, um bekannte Sicherheitslücken zu beheben.

Auch zum Schutz Ihrer Registry-Dateien können Sie effektive Maßnahmen ergreifen:

  • 1. Begrenzte Benutzerrechte: Nur Administratoren sollten Zugriff auf die Registry haben. Überprüfen Sie die Benutzerkonten und deren Berechtigungen regelmäßig und stellen Sie sicher, dass nur berechtigte Benutzer Administratorrechte haben.
  • 2. Sicherheitssoftware: Verwenden Sie eine zuverlässige Antivirus-Software und stellen Sie sicher, dass sie stets auf dem neuesten Stand ist. Eine gute Antivirus-Software kann potenzielle Bedrohungen erkennen und blockieren, bevor diese Schaden anrichten.
  • 3. Regelmäßige Backups: Erstellen Sie regelmäßig Backups Ihrer Registry. Im Falle einer Beschädigung oder einer schädlichen Änderung können Sie die Registry dann aus dem Backup wiederherstellen.
  • 4. Vorsicht bei Software-Downloads: Seien Sie besonders vorsichtig, wenn Sie Software aus dem Internet herunterladen. Einige Programme können Änderungen an der Registry vornehmen, welche das System instabil machen oder sogar Malware enthalten.
  • 5. Windows-Bordmittel: Windows bietet eigene Tools, wie das „Systemwiederherstellung“-Feature, um den Systemzustand inklusive der Registry auf einen früheren Punkt zurückzusetzen, falls notwendig.
  • 6. Systemaktualisierung: Halten Sie Ihr Betriebssystem und alle Ihre Programme immer auf dem neuesten Stand. Sicherheitsupdates schließen bekannte Schwachstellen, die Angreifer ausnutzen könnten.
  • 7. Schulungen: Bieten Sie Ihren Mitarbeitern Schulungen an, um sie auf die Gefahren hinzuweisen und ihnen den sicheren Umgang mit dem System und seinen Daten näherzubringen.
error: