Persistance par clé Run du registre
Qu'est-ce que Persistance par clé Run du registre ?
Persistance par clé Run du registreTechnique classique de persistance Windows qui ajoute une entrée sous une clé Run ou RunOnce afin d'exécuter un binaire ou un script à chaque ouverture de session.
La persistance par clés Run (MITRE ATT&CK T1547.001) utilise des emplacements d'autorun bien connus : HKCU\Software\Microsoft\Windows\CurrentVersion\Run, l'équivalent HKLM, RunOnce et les clés de raccourcis du dossier Démarrage. À l'ouverture de session, userinit/explorer lit ces valeurs et exécute chaque commande. La technique est simple, ne nécessite pas de droits admin pour HKCU et reste efficace même sur des hôtes surveillés, ces clés hébergeant aussi de nombreux updaters légitimes. Variantes : RunOnceEx, noms longs, clés obscures comme StartupApproved. La détection s'appuie sur Sysmon event 13, sur un baseline via Autoruns et sur des alertes pour les valeurs pointant vers des chemins inscriptibles par l'utilisateur.
● Exemples
- 01
Un attaquant écrit "Updater" = "%AppData%\loader.exe" sous HKCU\Software\Microsoft\Windows\CurrentVersion\Run.
- 02
Utiliser RunOnce pour exécuter un installeur unique qui dépose un service pour une persistance durable.
● Questions fréquentes
Qu'est-ce que Persistance par clé Run du registre ?
Technique classique de persistance Windows qui ajoute une entrée sous une clé Run ou RunOnce afin d'exécuter un binaire ou un script à chaque ouverture de session. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.
Que signifie Persistance par clé Run du registre ?
Technique classique de persistance Windows qui ajoute une entrée sous une clé Run ou RunOnce afin d'exécuter un binaire ou un script à chaque ouverture de session.
Comment fonctionne Persistance par clé Run du registre ?
La persistance par clés Run (MITRE ATT&CK T1547.001) utilise des emplacements d'autorun bien connus : HKCU\Software\Microsoft\Windows\CurrentVersion\Run, l'équivalent HKLM, RunOnce et les clés de raccourcis du dossier Démarrage. À l'ouverture de session, userinit/explorer lit ces valeurs et exécute chaque commande. La technique est simple, ne nécessite pas de droits admin pour HKCU et reste efficace même sur des hôtes surveillés, ces clés hébergeant aussi de nombreux updaters légitimes. Variantes : RunOnceEx, noms longs, clés obscures comme StartupApproved. La détection s'appuie sur Sysmon event 13, sur un baseline via Autoruns et sur des alertes pour les valeurs pointant vers des chemins inscriptibles par l'utilisateur.
Comment se défendre contre Persistance par clé Run du registre ?
Les défenses contre Persistance par clé Run du registre combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Persistance par clé Run du registre ?
Noms alternatifs courants : Persistance Run, Persistance par clé autorun.
● Termes liés
- attacks№ 975
Persistance par tâche planifiée
Technique de persistance et d'exécution où l'attaquant crée ou modifie une tâche planifiée Windows pour lancer son code lors d'un déclencheur (logon, démarrage, minuterie).
- attacks№ 1246
Persistance par souscription d'événement WMI
Technique de persistance qui enregistre un filtre et un consommateur d'événements WMI permanents pour exécuter du code attaquant lors d'un événement système choisi.
- attacks№ 200
Détournement COM
Technique de persistance qui redirige la résolution d'un CLSID Windows Component Object Model vers du code attaquant, exécuté à chaque instanciation de l'objet.
- attacks№ 515
Injection IFEO
Technique de persistance et d'élévation de privilèges qui abuse de la clé Image File Execution Options de Windows pour exécuter du code attaquant à chaque lancement d'un exécutable cible.
- attacks№ 054
AppInit_DLLs
Technique de persistance Windows historique qui abuse d'une valeur du registre pour faire charger une DLL spécifiée dans tout processus utilisateur liant user32.dll.
- attacks№ 331
Détournement de DLL
Attaque qui abuse de l'ordre de recherche des DLL de Windows pour qu'un programme légitime charge une bibliothèque contrôlée par l'attaquant au lieu de la bibliothèque attendue.
● Voir aussi
- № 238Persistance via cron
- № 608Persistance launchd