Run-Schlüssel-Persistenz
Was ist Run-Schlüssel-Persistenz?
Run-Schlüssel-PersistenzKlassische Windows-Persistenztechnik, die einen Eintrag unter einem Run- oder RunOnce-Registry-Schlüssel anlegt, damit ein Binary oder Skript bei jedem Logon ausgeführt wird.
Run-Schlüssel-Persistenz (MITRE ATT&CK T1547.001) nutzt bekannte Autorun-Stellen wie HKCU\Software\Microsoft\Windows\CurrentVersion\Run, das HKLM-Pendant, RunOnce und die Startup-Shortcut-Schlüssel. Beim Logon liest userinit/explorer diese Werte und startet jedes Kommando. Die Methode ist einfach, erfordert für HKCU keine Admin-Rechte und ist weiterhin wirksam, da diese Schlüssel auch unzählige legitime Updater enthalten. Varianten: RunOnceEx, lange Dateinamen, obskure Schlüssel wie StartupApproved. Detektion: Sysmon-Event 13 (Registry-Wert gesetzt), Baseline der erwarteten Autoruns mit Autoruns und Alarmierung bei Werten, die auf benutzerbeschreibbare Pfade verweisen.
● Beispiele
- 01
Ein Angreifer setzt "Updater" = "%AppData%\loader.exe" unter HKCU\Software\Microsoft\Windows\CurrentVersion\Run.
- 02
RunOnce wird genutzt, um einen Einmalinstaller zu starten, der einen Dienst für Langzeit-Persistenz hinterlegt.
● Häufige Fragen
Was ist Run-Schlüssel-Persistenz?
Klassische Windows-Persistenztechnik, die einen Eintrag unter einem Run- oder RunOnce-Registry-Schlüssel anlegt, damit ein Binary oder Skript bei jedem Logon ausgeführt wird. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet Run-Schlüssel-Persistenz?
Klassische Windows-Persistenztechnik, die einen Eintrag unter einem Run- oder RunOnce-Registry-Schlüssel anlegt, damit ein Binary oder Skript bei jedem Logon ausgeführt wird.
Wie schützt man sich gegen Run-Schlüssel-Persistenz?
Schutzmaßnahmen gegen Run-Schlüssel-Persistenz kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Run-Schlüssel-Persistenz?
Übliche alternative Bezeichnungen: Run-Key-Persistenz, Autorun-Key-Persistenz.