注册表 Run 键持久化
注册表 Run 键持久化 是什么?
注册表 Run 键持久化经典 Windows 持久化技术,在 Run 或 RunOnce 注册表项中添加条目,使二进制或脚本在每次用户登录时执行。
注册表 Run 键持久化(MITRE ATT&CK T1547.001)利用众所周知的自启位置,如 HKCU\Software\Microsoft\Windows\CurrentVersion\Run、对应的 HKLM 项、RunOnce 以及启动文件夹相关键。用户登录时,userinit/explorer 读取这些值并依次启动相应命令。该技术简单且 HKCU 不需要管理员权限,即便在受监控主机上依然有效,因为这些键也承载大量合法更新器。变种包括 RunOnceEx、超长二进制名以及 StartupApproved 等较隐蔽的键。检测重点是 Sysmon 事件 13(注册表值设置)、使用 Autoruns 等工具为自启项建立基线,并对指向用户可写路径的值告警。
● 示例
- 01
在 HKCU\Software\Microsoft\Windows\CurrentVersion\Run 写入 "Updater" = "%AppData%\loader.exe"。
- 02
使用 RunOnce 执行一次性安装器,后者投放服务实现长期持久化。
● 常见问题
注册表 Run 键持久化 是什么?
经典 Windows 持久化技术,在 Run 或 RunOnce 注册表项中添加条目,使二进制或脚本在每次用户登录时执行。 它属于网络安全的 攻击与威胁 分类。
注册表 Run 键持久化 是什么意思?
经典 Windows 持久化技术,在 Run 或 RunOnce 注册表项中添加条目,使二进制或脚本在每次用户登录时执行。
注册表 Run 键持久化 是如何工作的?
注册表 Run 键持久化(MITRE ATT&CK T1547.001)利用众所周知的自启位置,如 HKCU\Software\Microsoft\Windows\CurrentVersion\Run、对应的 HKLM 项、RunOnce 以及启动文件夹相关键。用户登录时,userinit/explorer 读取这些值并依次启动相应命令。该技术简单且 HKCU 不需要管理员权限,即便在受监控主机上依然有效,因为这些键也承载大量合法更新器。变种包括 RunOnceEx、超长二进制名以及 StartupApproved 等较隐蔽的键。检测重点是 Sysmon 事件 13(注册表值设置)、使用 Autoruns 等工具为自启项建立基线,并对指向用户可写路径的值告警。
如何防御 注册表 Run 键持久化?
针对 注册表 Run 键持久化 的防御通常结合技术控制与运营实践,详见上方完整定义。
注册表 Run 键持久化 还有哪些其他名称?
常见的别称包括: Run 键持久化, 自启键持久化。
● 相关术语
- attacks№ 975
计划任务持久化
一种持久化与执行手法,攻击者创建或修改 Windows 计划任务,使载荷在登录、开机或定时等触发条件下运行。
- attacks№ 1246
WMI 事件订阅持久化
一种持久化手法,注册永久 WMI 事件过滤器和消费者,使攻击者代码在指定系统事件发生时被触发。
- attacks№ 200
COM 劫持
一种持久化技术,将 Windows 组件对象模型的 CLSID 查找重定向到攻击者代码,只要宿主进程实例化该对象就会执行。
- attacks№ 515
IFEO 注入
一种利用 Windows 注册表 Image File Execution Options 项的持久化与提权技术,只要目标可执行文件启动就会触发攻击者代码。
- attacks№ 054
AppInit_DLLs
Windows 早期持久化技术,通过滥用注册表值,将指定 DLL 加载到所有链接 user32.dll 的用户态进程中。
- attacks№ 331
DLL 劫持
一种滥用 Windows DLL 搜索顺序的攻击,使合法程序加载攻击者控制的库,而不是预期的库。
● 参见
- № 238cron 持久化
- № 608launchd 持久化