Загрузка в безопасном режиме

Злоумышленники могут злоупотреблять безопасным режимом (safe mode) Windows для отключения защиты конечных точек. Безопасный режим запускает операционную систему Windows с ограниченным набором драйверов и служб. Стороннее программное обеспечение для обеспечения безопасности, такое как инструменты обнаружения и реагирования на конечных точках (EDR), может не запускаться после загрузки Windows в безопасном режиме. Существует две версии безопасного режима: Safe Mode и Safe Mode with Networking. Существует возможность запуска дополнительных сервисов после загрузки в безопасном режиме. Злоумышленники могут злоупотреблять безопасным режимом для отключения защиты конечных точек, которая может не запускаться при ограниченной загрузке. Хосты можно принудительно перевести в безопасный режим после следующей перезагрузки путем внесения изменений в хранилища данных конфигурации загрузки (Boot Configuration Data, BCD), которые представляют собой файлы, управляющие параметрами загрузочного приложения. Злоумышленники также могут добавлять свои вредоносные приложения в список минимальных служб, которые запускаются в безопасном режиме, путем изменения соответствующих значений реестра (например, Modify Registry). Вредоносные объекты Component Object Model (COM) также могут быть зарегистрированы и загружены в безопасном режиме.