レジストリ Run キー持続化
レジストリ Run キー持続化 とは何ですか?
レジストリ Run キー持続化Run / RunOnce レジストリ キーにエントリを追加し、ユーザーがログオンするたびにバイナリやスクリプトを実行させる古典的な Windows 持続化手法。
レジストリ Run キー持続化(MITRE ATT&CK T1547.001)は、HKCU\Software\Microsoft\Windows\CurrentVersion\Run、対応する HKLM、RunOnce、スタートアップ ショートカット関連キーなど、よく知られた自動起動箇所を利用します。ユーザーがログオンすると userinit や explorer がこれらの値を読み取り、それぞれのコマンドを起動します。HKCU は管理者権限不要で、正規アップデーターも多数登録されるため監視下でも有効性が高いのが特徴です。亜種としては RunOnceEx、長大なバイナリ名、StartupApproved といった目立たないキーがあります。検出では Sysmon イベント 13(レジストリ値設定)、Autoruns によるベースライン化、ユーザー書き込み可能パスを参照する値へのアラートが基本です。
● 例
- 01
攻撃者が HKCU\Software\Microsoft\Windows\CurrentVersion\Run に "Updater" = "%AppData%\loader.exe" を書き込む。
- 02
RunOnce を用いて長期持続化用のサービスを設置するワンタイム インストーラーを実行する。
● よくある質問
レジストリ Run キー持続化 とは何ですか?
Run / RunOnce レジストリ キーにエントリを追加し、ユーザーがログオンするたびにバイナリやスクリプトを実行させる古典的な Windows 持続化手法。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。
レジストリ Run キー持続化 とはどういう意味ですか?
Run / RunOnce レジストリ キーにエントリを追加し、ユーザーがログオンするたびにバイナリやスクリプトを実行させる古典的な Windows 持続化手法。
レジストリ Run キー持続化 からどのように防御しますか?
レジストリ Run キー持続化 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
レジストリ Run キー持続化 の別名は何ですか?
一般的な別名: Run キー持続化, オートラン キー持続化。