注册表混淆存储(Obfuscated Registry Storage)是一种通过加密和混淆技术将持久化配置信息隐匿在Windows注册表中的高级匿迹手法。攻击者利用多层加密算法对恶意载荷路径、启动参数等关键数据进行处理,将其存储于非常规注册表路径或合法键值的扩展属性中。该技术结合了数据变形与存储位置伪装,有效规避基于注册表键值监控的传统检测手段。
该技术的匿迹核心在于构建"数据-存储"双维度混淆体系。在数据维度,采用动态密钥的AES加密或自定义编码算法对配置信息进行变形,使原始数据熵值趋近正常注册表数值。在存储维度,选择系统预留键值(如ShellIconCache)、驱动程序配置项或软件兼容性数据区等非常规位置进行存储,利用注册表结构复杂性掩盖异常条目。进阶变种会注入合法进程修改注册表虚拟化视图,或在注册表事务处理(TXF)过程中植入恶意配置。通过加密存储与路径隐匿的双重保护,即使防御方捕获注册表快照,也难以通过静态分析识别异常项,有效突破基于规则匹配的注册表监控系统。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon