Закрепление через раздел Run реестра
Что такое Закрепление через раздел Run реестра?
Закрепление через раздел Run реестраКлассическая техника закрепления в Windows, добавляющая запись в раздел реестра Run или RunOnce для запуска бинарника или скрипта при каждом входе пользователя.
Закрепление через разделы Run (MITRE ATT&CK T1547.001) использует известные точки автозапуска: HKCU\Software\Microsoft\Windows\CurrentVersion\Run, аналогичный куст HKLM, RunOnce и ключи ярлыков папки автозагрузки. При входе пользователя userinit/explorer считывает значения и запускает каждую команду. Метод прост, для HKCU не требует прав администратора и остаётся эффективным даже на наблюдаемых системах, так как эти разделы используют и легитимные апдейтеры. Варианты — RunOnceEx, длинные имена бинарников, малозаметные ключи вроде StartupApproved. Обнаружение строится на Sysmon Event 13 (запись значения реестра), базовой инвентаризации автозапусков с помощью Autoruns и оповещениях о значениях, ссылающихся на пути с правом записи пользователя.
● Примеры
- 01
Запись значения "Updater" = "%AppData%\loader.exe" в HKCU\Software\Microsoft\Windows\CurrentVersion\Run.
- 02
Использование RunOnce для запуска одноразового установщика, ставящего службу для длительного закрепления.
● Частые вопросы
Что такое Закрепление через раздел Run реестра?
Классическая техника закрепления в Windows, добавляющая запись в раздел реестра Run или RunOnce для запуска бинарника или скрипта при каждом входе пользователя. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Закрепление через раздел Run реестра?
Классическая техника закрепления в Windows, добавляющая запись в раздел реестра Run или RunOnce для запуска бинарника или скрипта при каждом входе пользователя.
Как работает Закрепление через раздел Run реестра?
Закрепление через разделы Run (MITRE ATT&CK T1547.001) использует известные точки автозапуска: HKCU\Software\Microsoft\Windows\CurrentVersion\Run, аналогичный куст HKLM, RunOnce и ключи ярлыков папки автозагрузки. При входе пользователя userinit/explorer считывает значения и запускает каждую команду. Метод прост, для HKCU не требует прав администратора и остаётся эффективным даже на наблюдаемых системах, так как эти разделы используют и легитимные апдейтеры. Варианты — RunOnceEx, длинные имена бинарников, малозаметные ключи вроде StartupApproved. Обнаружение строится на Sysmon Event 13 (запись значения реестра), базовой инвентаризации автозапусков с помощью Autoruns и оповещениях о значениях, ссылающихся на пути с правом записи пользователя.
Как защититься от Закрепление через раздел Run реестра?
Защита от Закрепление через раздел Run реестра обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Закрепление через раздел Run реестра?
Распространённые альтернативные названия: Закрепление через Run, Закрепление через ключ автозапуска.
● Связанные термины
- attacks№ 975
Закрепление через запланированные задания
Техника закрепления и исполнения, при которой злоумышленник создаёт или изменяет запланированное задание Windows для запуска пейлоада по триггеру (вход, загрузка, таймер).
- attacks№ 1246
Закрепление через подписку WMI
Техника закрепления, регистрирующая постоянный WMI-фильтр и потребитель события, чтобы код злоумышленника запускался при выбранном системном событии.
- attacks№ 200
Перехват COM
Техника закрепления, перенаправляющая разрешение CLSID Windows Component Object Model на код злоумышленника, который выполняется при каждой инстанциации объекта.
- attacks№ 515
Внедрение через IFEO
Техника закрепления и повышения привилегий, использующая раздел реестра Image File Execution Options для запуска кода злоумышленника при старте целевого исполняемого файла.
- attacks№ 054
AppInit_DLLs
Устаревшая техника закрепления в Windows, использующая значение реестра для загрузки указанной DLL в каждый пользовательский процесс, связанный с user32.dll.
- attacks№ 331
Перехват DLL
Атака, использующая порядок поиска DLL в Windows, чтобы легитимная программа загрузила подконтрольную злоумышленнику библиотеку вместо нужной.