Run-Schlüssel-Persistenz
Was ist Run-Schlüssel-Persistenz?
Run-Schlüssel-PersistenzKlassische Windows-Persistenztechnik, die einen Eintrag unter einem Run- oder RunOnce-Registry-Schlüssel anlegt, damit ein Binary oder Skript bei jedem Logon ausgeführt wird.
Run-Schlüssel-Persistenz (MITRE ATT&CK T1547.001) nutzt bekannte Autorun-Stellen wie HKCU\Software\Microsoft\Windows\CurrentVersion\Run, das HKLM-Pendant, RunOnce und die Startup-Shortcut-Schlüssel. Beim Logon liest userinit/explorer diese Werte und startet jedes Kommando. Die Methode ist einfach, erfordert für HKCU keine Admin-Rechte und ist weiterhin wirksam, da diese Schlüssel auch unzählige legitime Updater enthalten. Varianten: RunOnceEx, lange Dateinamen, obskure Schlüssel wie StartupApproved. Detektion: Sysmon-Event 13 (Registry-Wert gesetzt), Baseline der erwarteten Autoruns mit Autoruns und Alarmierung bei Werten, die auf benutzerbeschreibbare Pfade verweisen.
● Beispiele
- 01
Ein Angreifer setzt "Updater" = "%AppData%\loader.exe" unter HKCU\Software\Microsoft\Windows\CurrentVersion\Run.
- 02
RunOnce wird genutzt, um einen Einmalinstaller zu starten, der einen Dienst für Langzeit-Persistenz hinterlegt.
● Häufige Fragen
Was ist Run-Schlüssel-Persistenz?
Klassische Windows-Persistenztechnik, die einen Eintrag unter einem Run- oder RunOnce-Registry-Schlüssel anlegt, damit ein Binary oder Skript bei jedem Logon ausgeführt wird. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet Run-Schlüssel-Persistenz?
Klassische Windows-Persistenztechnik, die einen Eintrag unter einem Run- oder RunOnce-Registry-Schlüssel anlegt, damit ein Binary oder Skript bei jedem Logon ausgeführt wird.
Wie funktioniert Run-Schlüssel-Persistenz?
Run-Schlüssel-Persistenz (MITRE ATT&CK T1547.001) nutzt bekannte Autorun-Stellen wie HKCU\Software\Microsoft\Windows\CurrentVersion\Run, das HKLM-Pendant, RunOnce und die Startup-Shortcut-Schlüssel. Beim Logon liest userinit/explorer diese Werte und startet jedes Kommando. Die Methode ist einfach, erfordert für HKCU keine Admin-Rechte und ist weiterhin wirksam, da diese Schlüssel auch unzählige legitime Updater enthalten. Varianten: RunOnceEx, lange Dateinamen, obskure Schlüssel wie StartupApproved. Detektion: Sysmon-Event 13 (Registry-Wert gesetzt), Baseline der erwarteten Autoruns mit Autoruns und Alarmierung bei Werten, die auf benutzerbeschreibbare Pfade verweisen.
Wie schützt man sich gegen Run-Schlüssel-Persistenz?
Schutzmaßnahmen gegen Run-Schlüssel-Persistenz kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Run-Schlüssel-Persistenz?
Übliche alternative Bezeichnungen: Run-Key-Persistenz, Autorun-Key-Persistenz.
● Verwandte Begriffe
- attacks№ 975
Geplante-Aufgaben-Persistenz
Persistenz- und Ausführungstechnik, bei der ein Angreifer eine Windows-Aufgabenplanungs-Aufgabe anlegt oder ändert, um sein Payload bei Logon, Boot oder Timer auszuführen.
- attacks№ 1246
WMI-Event-Subscription-Persistenz
Persistenztechnik, die einen permanenten WMI-Event-Filter und -Consumer registriert, sodass Angreifercode bei einem definierten Systemereignis ausgeführt wird.
- attacks№ 200
COM-Hijacking
Persistenztechnik, die die CLSID-Auflösung des Windows Component Object Model auf Angreifercode umleitet und diesen bei jeder Objektinstanziierung ausführt.
- attacks№ 515
IFEO-Injection
Persistenz- und Privilegieneskalationstechnik, die den Windows-Registry-Schlüssel Image File Execution Options missbraucht, um beim Start eines Ziel-Executables Angreifercode auszuführen.
- attacks№ 054
AppInit_DLLs
Legacy-Windows-Persistenztechnik, die einen Registry-Wert missbraucht, damit eine angegebene DLL in jeden Benutzerprozess geladen wird, der user32.dll bindet.
- attacks№ 331
DLL-Hijacking
Angriff, der die DLL-Suchreihenfolge von Windows missbraucht, damit ein legitimes Programm eine vom Angreifer kontrollierte Bibliothek anstelle der vorgesehenen lädt.
● Siehe auch
- № 238Cron-Persistenz
- № 608launchd-Persistenz