Persistencia por clave Run del registro
¿Qué es Persistencia por clave Run del registro?
Persistencia por clave Run del registroTécnica clásica de persistencia en Windows que añade una entrada en una clave Run o RunOnce del registro para ejecutar un binario o script cada vez que el usuario inicia sesión.
La persistencia por claves Run (MITRE ATT&CK T1547.001) usa ubicaciones de autoinicio bien conocidas: HKCU\Software\Microsoft\Windows\CurrentVersion\Run, el equivalente en HKLM, RunOnce y las claves de accesos directos de la carpeta Inicio. Cuando el usuario inicia sesión, userinit o explorer leen los valores y ejecutan cada comando. Es simple, no requiere admin para HKCU y sigue siendo efectiva incluso en hosts monitorizados porque dichas claves alojan numerosos actualizadores legítimos. Las variantes incluyen RunOnceEx, nombres binarios largos y claves oscuras como StartupApproved. La detección se centra en Sysmon evento 13, baseline con Autoruns y alertas para valores que apuntan a rutas escribibles por el usuario.
● Ejemplos
- 01
Un atacante escribe "Updater" = "%AppData%\loader.exe" en HKCU\Software\Microsoft\Windows\CurrentVersion\Run.
- 02
Usar RunOnce para ejecutar un instalador único que crea un servicio para persistencia a largo plazo.
● Preguntas frecuentes
¿Qué es Persistencia por clave Run del registro?
Técnica clásica de persistencia en Windows que añade una entrada en una clave Run o RunOnce del registro para ejecutar un binario o script cada vez que el usuario inicia sesión. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Persistencia por clave Run del registro?
Técnica clásica de persistencia en Windows que añade una entrada en una clave Run o RunOnce del registro para ejecutar un binario o script cada vez que el usuario inicia sesión.
¿Cómo funciona Persistencia por clave Run del registro?
La persistencia por claves Run (MITRE ATT&CK T1547.001) usa ubicaciones de autoinicio bien conocidas: HKCU\Software\Microsoft\Windows\CurrentVersion\Run, el equivalente en HKLM, RunOnce y las claves de accesos directos de la carpeta Inicio. Cuando el usuario inicia sesión, userinit o explorer leen los valores y ejecutan cada comando. Es simple, no requiere admin para HKCU y sigue siendo efectiva incluso en hosts monitorizados porque dichas claves alojan numerosos actualizadores legítimos. Las variantes incluyen RunOnceEx, nombres binarios largos y claves oscuras como StartupApproved. La detección se centra en Sysmon evento 13, baseline con Autoruns y alertas para valores que apuntan a rutas escribibles por el usuario.
¿Cómo defenderse de Persistencia por clave Run del registro?
Las defensas contra Persistencia por clave Run del registro combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Persistencia por clave Run del registro?
Nombres alternativos comunes: Persistencia por Run, Persistencia por clave autorun.
● Términos relacionados
- attacks№ 975
Persistencia por tarea programada
Técnica de persistencia y ejecución en la que el atacante crea o modifica una tarea programada de Windows para ejecutar su payload por inicio de sesión, arranque o temporizador.
- attacks№ 1246
Persistencia por suscripción a eventos WMI
Técnica de persistencia que registra un filtro y un consumidor permanentes de eventos WMI para que el código del atacante se ejecute cuando ocurra un evento del sistema.
- attacks№ 200
Secuestro COM
Técnica de persistencia que redirige la búsqueda de un CLSID del Component Object Model de Windows hacia código del atacante, ejecutándolo cuando un proceso instancia ese objeto.
- attacks№ 515
Inyección IFEO
Técnica de persistencia y escalada de privilegios que abusa de la clave Image File Execution Options del registro de Windows para ejecutar código cuando se inicia un ejecutable objetivo.
- attacks№ 054
AppInit_DLLs
Técnica heredada de persistencia en Windows que abusa de un valor del registro para que una DLL determinada se cargue en todo proceso de usuario que enlace user32.dll.
- attacks№ 331
Secuestro de DLL
Ataque que abusa del orden de búsqueda de DLL en Windows para que un programa legítimo cargue una biblioteca controlada por el atacante en lugar de la legítima.