Mitre ATT&CK
T1060-Registry Run Keys / Startup Folder(注册表运行键/启动文件夹)
ATT&CK中的描述
在注册表或启动文件夹中向“运行键”添加条目将导致在用户登陆时执行引用的程序,这些程序将在用户的上下文中执行,并具有账户的关联权限水平。
Windows系统中默认创建以下运行键:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
以下注册表项可用于设置持久性的启动文件夹:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
简单测试
- 测试环境:Windows server2008 R2
- 数据源:windows sysmon(sysmon需单独安装)
- 测试方法 :手动编辑注册表项添加“hi from hkcu run”和“hi from hklm run”,开机即自动启动并提示该消息。
- 测试截图:
- 检测规则:条件1 and (条件2 or 条件3 or 条件4)
条件 | 检测方法 |
---|---|
条件 1 | EventID = 1 |
条件 2 | ParentImage = *\explorer.exe |
条件 3 | ParentImage = *\runonce.exe |
条件 4 | ParentImage = *\userinit.exe |
- LogParser检测输出:
- 参考链接:
https://blog.menasec.net/2019/03/how-to-hunt-for-processes-starting-from.html
https://attack.mitre.org/techniques/T1060/
备注:以上测试均以个人理解为准,如有不妥欢迎指教。