Praetorian опубликовала инструмент Swarmer и вместе с ним очень неприятную для защитников технику закрепления в Windows. В основе не новый эксплойт и не хитрый драйвер, а старый корпоративный механизм, который дожил от эпохи Windows NT до Windows 11, но почти исчез из поля зрения современных систем мониторинга. Речь про обязательные профили пользователей - механизм, который позволяет администраторам навязать пользователю фиксированные настройки, сбрасываемые после выхода из системы. В реальной сети их используют редко, поэтому детекты на такие сценарии у многих либо отсутствуют, либо стоят в самом низу приоритетов.
Что именно придумали в Praetorian
Praetorian начинает с простой мысли: привычные способы закрепления через реестр давно шумные. Большинство EDR отлично видит, когда процесс меняет ключи автозагрузки или трогает типовые пути вроде Run в HKCU. Логи фиксируют вызовы, правила реагируют, расследования начинаются быстро. Поэтому команда искала способ добиться того же эффекта, но не оставляя следов прямого изменения реестра через стандартные API. В ответ они достали из архива Windows две вещи.
Первая это обязательные профили. В Windows есть файл NTUSER.DAT, это то, из чего формируется ветка HKEY_CURRENT_USER (хранилище всех настроек текущего пользователя) при входе пользователя. Если в папке профиля лежит NTUSER.MAN, система воспринимает профиль как обязательный и загружает именно его. Расширение MAN и есть этот маркер. Изначально это задумывалось для администраторов, которые хотят раздать пользователям фиксированный профиль и сбрасывать изменения после выхода.
Вторая вещь это библиотека для работы с офлайн реестром, Offreg.dll. Она появилась для легитимных задач вроде установки Windows, резервного копирования и форензики, когда нужно редактировать файл реестра, не загружая его в работающую систему. Microsoft даже предупреждала в документации, что эти функции не предназначены для обхода требований безопасности системного реестра. Praetorian, разумеется, использует их именно так.
Как это обходит EDR-системы
Offreg.dll дает полный набор операций с файлом реестра: создать, открыть, добавить ключ, записать значение, сохранить. При этом не происходит привычных для EDR обращений к активному реестру. Нет стандартных вызовов изменения ключей, нет тех логов, к которым привязаны многие правила. Для системы это выглядит как работа с файлом. То есть защита, которая следит за изменениями реестра, просто не видит момента, когда в файл конфигурации добавили автозапуск или другие нужные значения.
Инструмент Swarmer автоматизирует весь процесс. Сначала берут текущий пользовательский файл конфигурации. Это можно сделать обычной командой экспорта, а можно менее заметно, через инструменты, которые извлекают данные реестра без записи на диск. Затем в экспорт добавляют нужные изменения, например тот же автозапуск. Далее Swarmer с помощью API офлайн реестра превращает модифицированный экспорт в бинарный файл конфигурации и сохраняет его как NTUSER.MAN в папку профиля пользователя.
После этого все становится почти банально. При следующем входе Windows загружает HKEY_CURRENT_USER из NTUSER.MAN. И все, что спрятано внутри, начинает работать как будто оно всегда там было. Снаружи получается закрепление, которое переживает перезагрузку, хотя активный реестр никогда не менялся напрямую.
Какие ограничения есть у техники
Техника не универсальная, и Praetorian это признает. Как только файл NTUSER.MAN появился, профиль становится обязательным. Изменения, которые пользователь делает в течение сессии, больше не сохраняются между входами. Это может быть заметно, если человек активно работает с настройками, а после перезагрузки они внезапно откатываются.
Есть и техническое ограничение, важное для атакующего. Обновить такое закрепление без прав администратора сложно, потому что файл нужно заменить, а Windows держит его заблокированным в типичных сценариях. Кроме того, этот механизм работает только на уровне пользователя, то есть речь про HKCU и сценарии закрепления в рамках учетной записи, а не про системный уровень.
Praetorian также отмечает, что можно повредить файл конфигурации так, что пользователь перестанет входить в систему. Поэтому любые созданные файлы нужно проверять на тестовой машине, прежде чем применять в реальной среде.
Как защитники могут противостоять
Сюрприз в том, что артефакты все же остаются. Главный из них очень простой: появление NTUSER.MAN в папке профиля пользователя. В обычной корпоративной жизни такое случается редко, а если обязательные профили не используются политиками компании, то это почти всегда аномалия.
Второй сигнал это загрузка Offreg.dll неожиданными процессами. Большинство обычных приложений не обращаются к офлайн реестру. Поведенческий анализ может это заметить, если есть правила на нетипичную загрузку библиотеки.
И наконец, когда закрепление сработает при входе, полезная нагрузка все равно проявит себя. Можно не увидеть момент подмены файла конфигурации, но можно увидеть последствия, если анализировать последовательность запуска процессов при входе пользователя.
Почему legacy-механизмы остаются опасны
Praetorian пишет, что применяет технику на практике с февраля 2025 года и успешно обходила обнаружение в ходе активных тестов на Windows 10 и 11. И именно поэтому они решили опубликовать её в публичное поле, чтобы у защитников появилась видимость.
Главный урок здесь даже не про обязательные профили. Он про наследие Windows. В системе десятилетиями копились легитимные механизмы для администрирования и обслуживания, и часть из них находится вне привычных зон контроля современных EDR. Если команда умеет копаться в таких углах, она почти всегда найдет способ сделать то же самое другим путем, минуя стандартные детекты. Swarmer просто показывает это на очень наглядном примере.
