ATT&CK T1060-Registry Run Keys / Startup Folder

最新推荐文章于 2024-02-15 03:46:52 发布
最新推荐文章于 2024-02-15 03:46:52 发布
阅读量558 收藏 1
点赞数
分类专栏: ATT&CK 文章标签: ATT&CK T1060 持久化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JJyyyhello/article/details/100932094
版权

Mitre ATT&CK

T1060-Registry Run Keys / Startup Folder(注册表运行键/启动文件夹)

ATT&CK中的描述

在注册表或启动文件夹中向“运行键”添加条目将导致在用户登陆时执行引用的程序,这些程序将在用户的上下文中执行,并具有账户的关联权限水平。

Windows系统中默认创建以下运行键:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

以下注册表项可用于设置持久性的启动文件夹:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

简单测试

  1. 测试环境:Windows server2008 R2
  2. 数据源:windows sysmon(sysmon需单独安装)
  3. 测试方法 :手动编辑注册表项添加“hi from hkcu run”和“hi from hklm run”,开机即自动启动并提示该消息。
  4. 测试截图
    在这里插入图片描述在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
  5. 检测规则:条件1 and (条件2 or 条件3 or 条件4)
条件检测方法
条件 1EventID = 1
条件 2ParentImage = *\explorer.exe
条件 3ParentImage = *\runonce.exe
条件 4ParentImage = *\userinit.exe
  1. LogParser检测输出
    在这里插入图片描述
  2. 参考链接
    https://blog.menasec.net/2019/03/how-to-hunt-for-processes-starting-from.html
    https://attack.mitre.org/techniques/T1060/

备注:以上测试均以个人理解为准,如有不妥欢迎指教。

PacketAunt
关注
专栏目录
利用run sendKeys向记事本动态写入字符串
yldfree的博客
03-13 385
Dim shell,index Dim arrayTemp,ArrayLen Dim aryStr aryStr = "Please Keep The Desktop Clearing Thank You!" arrayTemp = Split(aryStr)                             ' 将字符串转为数组空格分隔 ArrayLen = UBound
win10打开开机启动文件夹
weixin_40340586的博客
04-04 223
在弹出【运行】窗体中,输入shell:startup命令
一个完全纯净的windows资源站
llllyh812的博客
09-29 1万+
下载windows镜像
通过注册表禁用桌面鼠标右键等
weixin_30505225的博客
05-18 463
忽然发现快近一年不在这个博客上转载文章了,悔恨不已,近日在网上查到此文,特此转载。 通过注册表禁用桌面鼠标右键等[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]"NoRecentDocsMenu"=dword:00000001(隐藏开始->文档菜单)"NoRecentDo...
分享几个纯净版Windows系统下载网站
热门推荐
天乐的博客
10-18 12万+
如今Windows系统越来越好安装了,抛弃多年前的光盘,现在只需要一个装机工具就可以轻松搞定,完全不需要具备电脑装机知识,按照安装向导进行就可以了。不过,有些u盘装机工具,由于没有提供镜像文件,用户只能自己从网上找和下载,一路上磕磕绊绊,不少用户就中了捆绑网站的“陷阱”。1.msdn(收集了原版Windows镜像,均纯净无捆绑)一生中你唯一需要回头的时候,是为了看自己到底走了多远。这里我给大家分享几个我平时用的操作系统下载网站。3.极简系统(提供极简的os下载)
ATT&CK手册(修改版)
09-16
**ATT&CK手册(修改版)** ATT&CK(Adversarial Tactics, Techniques & Common Knowledge)是由美国非营利组织MITRE Corporation开发的一种框架,用于描述和分类网络攻击者的行为战术、技术和过程(TTPs)。这个框架...
ATT&CK 知识库(企业)中文版1
08-03
**ATT&CK 知识库(企业)中文版1** **初始访问** 初始访问是攻击者进入目标网络或系统的最初步骤,通常涉及多种技术来获取对目标环境的立足点。以下是一些主要的初始访问方法: 1. **路过式下载**:攻击者利用...
ATT&CK中文手册.zip
11-24
一、Initial Access(入口点) 二、Execution(命令执行) 三、Persistence(持久化) 四、Privilege Escalation(权限提升) 五、Defense Evasion(绕过防御) 六、Credential Access(获取凭证) 七、Discovery(基础信息收集) ...
ATT&CK手册.pdf
09-20
本手册涉及的核心概念是ATT&CK模型,这是一种由MITRE Corporation开发的攻击框架,用于对攻击者在渗透和入侵过程中使用的手法、技术和程序进行分类和描述。ATT&CK手册将网络安全的视角从防御转向了攻击者的行为,为...
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FeatureUsage\AppLaunch
最新发布
kfepiza的博客
02-15 1560
如果你想要从“打开方式”菜单中完全移除某个程序,这通常更为复杂,因为Windows并没有提供一个简单的用户界面来完成这个任务。如果你想要更改文件类型的默认打开方式或清理“打开方式”菜单中的多余选项,建议使用更安全的方法,比如通过控制面板的“默认程序”设置或使用第三方软件工具来帮助你管理文件关联。下的相关项可以是一个解决方案,但这需要对注册表结构和文件关联有深入的了解。如果你不熟悉这些概念,最好寻求专业帮助或使用可靠的第三方软件来管理你的文件关联。如果你想要管理文件类型的“打开方式”菜单,你应该关注的是。
访问网站,http、https协议抓包,完整分析
weixin_43522969的博客
06-17 8296
HTTP、HTTPS协议 一、www.qq.com抓包 第一步:浏览器分析超链接中的URL www.qq.com 第二步:DNS请求 PC用本地IP地址向DNS服务器222.172.200.68发出DNS QUERY请求,请求www.qq.com的A记录 本地IP地:ipconfig查看 DNS请求报文: 请求报文中,请求www.qq.com的A记录 第步:DNS DNS应答报文 DNS服务器222.172.200.68回复DNS response,解析出www.qq.com域名对应的两条A记录14.
在win10上,配置 Rust 开发环境(使用 mingw64编译器) 和 idea 配置 Rust 插件
猎人在吃肉
03-25 8028
在win10上,配置 Rust 开发环境(使用 mingw64编译器) 和 idea 配置 Rust 插件
服务器上配置 Tensorflow GPU 版
bryant_meng
11-17 1万+
文章目录1 主要参考2 配置介绍3 安装流程4 详细流程4.1 显卡驱动的安装4.2 CUDA的安装4.3 CUDNN的安装4.4 Anaconda3安装(可选)conda 虚拟环境管理4.5 安装 tensoflow-gpu4.5.1 安装指定版本4.5.2 加速(换源、timeout)4.5.3 超级VIP加速4.5.4 pip 查看已经安装包的命令以及版本4.6 测试4.7 查看 tensorflow 的版本5 错误总结错误1:错误2:错误3:6 附录(window 下配置 Tensorflow-GP
红蓝对抗之蓝队防守:ATT&CK框架的应用
DBappSecurity_的博客
07-15 2681
企业大规模数字化转型的浪潮下,各类网络入侵事件频发、APT和黑客团伙活动猖獗,合规性驱动的传统安全防护建设已无法满足需求。近年来随着各级红蓝对抗行动的开展,企业安全建设正逐步向实战化转型,而MITRE(一个向美国政府提供系统工程、研究开发和信息技术支持的非营利性组织)提出的ATT&CK框架正是在这一过程中能够起到指导性作用的重要参考。 ATT&CK框架在2019年的Gartner Security & Risk Management Summit会上,被F-Secure评为十大关注
糟糕 安装失败 错误代码0xa0430721 解决方案
Wangdanting123的博客
05-06 4047
糟糕 安装失败 错误代码0xa0430721 解决方案
设置开机启动项目--找开机启动文件夹
emmmmmm的博客
09-12 4563
win10 https://www.windows10.pro/win10-startup-folder/ 打开“系统启动文件夹”的命令 %programdata%\Microsoft\Windows\Start Menu\Programs\Startup win7 在开始菜单中找 【启动】 或者 【StartUp】文件夹   把写好的bat文件放进去...
在组织中管理 Windows Hello 企业版
荒野求生的博客
12-05 1816
在组织中管理 Windows Hello 企业版 https://docs.microsoft.com/zh-cn/windows/security/identity-protection/hello-for-business/hello-manage-in-organization 适用于 Windows 10 你可以创建组策略或移动设备管理(MDM)策略,该策略将在运行 Windows10 的设备上实现 Windows Hello。 重要 组策略设置启用 PIN 登录不适用于 Windows .
安装Labview2012 “labview 2012 未定义必须的 NIPathsDir属性 maxAFWDIR”
sunxinyu的专栏
07-17 4415
More Information This error has several causes. One cause is that the installation was created with a hard-coded path to a drive letter that does not exist on the machine. I
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值