Se proporcionaron las claves de registro
Estas son solo las claves de registro. Para agregar análisis, es necesario que también necesiten los nombres de los valores. La primera clave está relacionada con el controlador de video Intel. El segundo es una red relacionada con LAN Manager. El tercero está relacionado con el Firewall de Windows / Conexión compartida a Internet. El cuarto es de hecho un gancho de Windows Genuine Advantage.
Ninguna de estas claves de registro indica una intrusión por sí mismas. Sin embargo, investigaría si un usuario ha cambiado estas áreas o si los cambios se relacionan con la Política de grupo o las actualizaciones de Microsoft que se están implementando.
Sugeriría que los cambios en su entorno (como parches, software y políticas de grupo) se prueben en una PC de control para que pueda eliminar rápidamente los falsos positivos. Esto le ayudará a comprender mejor el registro de Windows.
Las claves de registro típicamente de alto riesgo son:
- HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ *
- HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Session Manager \ * en particular PendingFileRenameOenameations
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Opciones de ejecución de archivos de imagen
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ *
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce \ *
- HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ *
- HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce \ *
Recursos
Las sugerencias hechas por Mark son buenas. Sans.org tiene un montón de grandes recursos. Personalmente, solo usaría un motor de búsqueda como Google o Bing para buscar la clave / valor del registro. La mayoría de las claves de registro de Microsoft están bastante bien documentadas con explicaciones.
También me gustaría ver informes de malware de todos los proveedores principales. En general, hay patrones comunes en los que el malware elimina las claves de registro, por ejemplo. enlace
Espero que esto ayude.