Persistência por chave Run do registo
O que é Persistência por chave Run do registo?
Persistência por chave Run do registoTécnica clássica de persistência do Windows que adiciona uma entrada numa chave Run ou RunOnce do registo para executar um binário ou script sempre que o utilizador inicia sessão.
A persistência por chaves Run (MITRE ATT&CK T1547.001) usa localizações de auto-arranque bem conhecidas: HKCU\Software\Microsoft\Windows\CurrentVersion\Run, o equivalente em HKLM, RunOnce e as chaves de atalhos da pasta Arranque. Quando o utilizador inicia sessão, userinit/explorer lê estes valores e executa cada comando. É simples, não exige privilégios administrativos para HKCU e mantém-se eficaz em hosts monitorizados porque estas chaves também alojam muitos atualizadores legítimos. Variantes: RunOnceEx, nomes longos, chaves discretas como StartupApproved. A deteção foca-se no Sysmon evento 13, baseline com Autoruns e alertas para valores que apontam para caminhos com escrita do utilizador.
● Exemplos
- 01
Um atacante escreve "Updater" = "%AppData%\loader.exe" em HKCU\Software\Microsoft\Windows\CurrentVersion\Run.
- 02
Usar RunOnce para executar um instalador único que coloca um serviço para persistência prolongada.
● Perguntas frequentes
O que é Persistência por chave Run do registo?
Técnica clássica de persistência do Windows que adiciona uma entrada numa chave Run ou RunOnce do registo para executar um binário ou script sempre que o utilizador inicia sessão. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Persistência por chave Run do registo?
Técnica clássica de persistência do Windows que adiciona uma entrada numa chave Run ou RunOnce do registo para executar um binário ou script sempre que o utilizador inicia sessão.
Como funciona Persistência por chave Run do registo?
A persistência por chaves Run (MITRE ATT&CK T1547.001) usa localizações de auto-arranque bem conhecidas: HKCU\Software\Microsoft\Windows\CurrentVersion\Run, o equivalente em HKLM, RunOnce e as chaves de atalhos da pasta Arranque. Quando o utilizador inicia sessão, userinit/explorer lê estes valores e executa cada comando. É simples, não exige privilégios administrativos para HKCU e mantém-se eficaz em hosts monitorizados porque estas chaves também alojam muitos atualizadores legítimos. Variantes: RunOnceEx, nomes longos, chaves discretas como StartupApproved. A deteção foca-se no Sysmon evento 13, baseline com Autoruns e alertas para valores que apontam para caminhos com escrita do utilizador.
Como se defender contra Persistência por chave Run do registo?
As defesas contra Persistência por chave Run do registo costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Persistência por chave Run do registo?
Nomes alternativos comuns: Persistência Run, Persistência por chave de auto-arranque.
● Termos relacionados
- attacks№ 975
Persistência por tarefa agendada
Técnica de persistência e execução em que o atacante cria ou altera uma tarefa agendada do Windows para executar o seu payload com base num gatilho (logon, arranque, temporizador).
- attacks№ 1246
Persistência por subscrição de eventos WMI
Técnica de persistência que regista um filtro e um consumidor permanentes de eventos WMI para executar código do atacante quando ocorre um evento do sistema escolhido.
- attacks№ 200
Sequestro COM
Técnica de persistência que redireciona a resolução de um CLSID do Component Object Model do Windows para código do atacante, executado sempre que o objeto é instanciado.
- attacks№ 515
Injeção IFEO
Técnica de persistência e elevação de privilégios que abusa da chave de registo Image File Execution Options do Windows para executar código quando um executável-alvo é iniciado.
- attacks№ 054
AppInit_DLLs
Técnica legada de persistência no Windows que abusa de um valor do registo para carregar uma DLL específica em todos os processos de utilizador que ligam ao user32.dll.
- attacks№ 331
Sequestro de DLL
Ataque que abusa da ordem de busca de DLL no Windows para fazer um programa legítimo carregar uma biblioteca controlada pelo atacante em vez da pretendida.