ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1060

术语表: /attack/glossary

注册表 Run 键/Startup 文件夹

在注册表"run 键"或"Startup "文件夹中的中添加条目,在用户登录时将执行该条目引用的程序。这些程序将在用户的上下文中执行,并具有帐户的相关权限级别。

在 Windows 系统上默认创建以下 run 键: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx 也可用,但在 Windows Visa 及后续版本中默认不创建。注册表 run 键的条目可以直接引用程序或将它们作为依赖项列出。例如,可以使用 RunOnceEx 的"Depend"键在登录时加载 DLL: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\0001\Depend /v 1 /d "C:\temp\evil[.]dll"

以下注册表项可用于设置启动文件夹项以便保存: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

攻击者可以使用这些配置位置来执行恶意软件,比如远程访问工具,通过重新引导系统来维护持久性。攻击者也可以使用伪装技术,使注册表项看起来像是与合法程序相关联的。

缓解

在适当的情况下,使用诸如 AppLocker 或软件限制策略 等白名单 工具识别和阻止可能通过 run 键或 startup 文件夹持久性执行的潜在恶意软件。

检测

监视注册表中与已知软件、补丁周期等不相关的 run 键的更改。监视开始文件夹的添加或更改。诸如 Sysinternals Autoruns 之类的工具也可以用于检测尝试建立持久性导致的系统更改,包括列出 run 键的注册表位置和 startup文件夹。 当与历史数据相对比时,可疑程序作为启动程序的执行可能会作为未见过的的异常进程出现。

在安装合法软件时,通常会在正常情况下对这些位置进行更改。为了增加恶意活动的可信度,不应孤立地看待数据和事件,而应将其视为可能导致其他活动的行为链的一部分,例如用于命令与控制的网络连接、通过披露了解环境细节以及横向移动。­