Mitre ATT&CK
T1060-Registry Run Keys / Startup Folder(註冊表運行鍵/啓動文件夾)
ATT&CK中的描述
在註冊表或啓動文件夾中向“運行鍵”添加條目將導致在用戶登陸時執行引用的程序,這些程序將在用戶的上下文中執行,並具有賬戶的關聯權限水平。
Windows系統中默認創建以下運行鍵:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
以下注冊表項可用於設置持久性的啓動文件夾:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
簡單測試
- 測試環境:Windows server2008 R2
- 數據源:windows sysmon(sysmon需單獨安裝)
- 測試方法 :手動編輯註冊表項添加“hi from hkcu run”和“hi from hklm run”,開機即自動啓動並提示該消息。
- 測試截圖:
![在這裏插入圖片描述]()
![在這裏插入圖片描述]()
![在這裏插入圖片描述]()
![在這裏插入圖片描述]()
- 檢測規則:條件1 and (條件2 or 條件3 or 條件4)
| 條件 | 檢測方法 |
|---|---|
| 條件 1 | EventID = 1 |
| 條件 2 | ParentImage = *\explorer.exe |
| 條件 3 | ParentImage = *\runonce.exe |
| 條件 4 | ParentImage = *\userinit.exe |
- LogParser檢測輸出:
![在這裏插入圖片描述]()
- 參考鏈接:
https://blog.menasec.net/2019/03/how-to-hunt-for-processes-starting-from.html
https://attack.mitre.org/techniques/T1060/
備註:以上測試均以個人理解爲準,如有不妥歡迎指教。