T1547.001 en MITRE ATT&CK: Claves de Registro Run y Carpeta de Inicio Explicadas
Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
El artículo describe cómo los atacantes abusan de las claves de ejecución del Registro de Windows y de la Carpeta de Inicio para mantener la persistencia en sistemas comprometidos. Detalla las rutas clave del registro y las ubicaciones del sistema de archivos que los adversarios suelen atacar. Ejemplos del mundo real incluyen el malware CABINETRAT y un beacon de AdaptixC2. Esta actividad se rastrea como T1547.001, una sub-técnica de persistencia en el marco de MITRE ATT&CK.
Investigación
Investigadores de Picus Security documentaron una campaña de CABINETRAT en octubre de 2025 que creó una clave de ejecución para lanzar cmd.exe. En un caso separado en septiembre de 2025, los analistas observaron un script de PowerShell copiando un payload en AppData y creando un acceso directo en la Carpeta de Inicio para el marco AdaptixC2. Ambos casos ilustran cómo las claves de ejecución y los accesos directos de inicio siguen siendo métodos efectivos de persistencia en ataques del mundo real.
Mitigación
Los defensores deben monitorear continuamente la creación o modificación de claves de ejecución conocidas y rutas de Carpeta de Inicio. Las organizaciones deben habilitar la auditoría protegida del registro, aplicar controles de privilegios mínimos a las cuentas de usuario y usar control de aplicaciones para bloquear scripts y archivos de acceso directo no autorizados de ser escritos en estas ubicaciones.
Respuesta
Cuando se identifica actividad sospechosa en las claves de ejecución o la Carpeta de Inicio, aísle el punto final afectado, recoja los valores del registro alterados y los archivos vinculados, y comience el análisis forense. Elimine las entradas de persistencia maliciosas, detenga los procesos relacionados y restablezca cualquier credencial comprometida. Las reglas de detección deben luego ser actualizadas para capturar los indicadores observados.
Flujo de Ataque
Todavía estamos actualizando esta parte. Regístrese para recibir notificaciones
NotifícameDetecciones
Puntos de Persistencia Posibles [ASEPs – Software/NTUSER Hive] (vía registry_event)
Ver
Puntos de Persistencia Posibles [ASEPs – Software/NTUSER Hive] (vía cmdline)
Ver
Posible Creación de Atajos Usando Powershell (vía powershell)
Ver
Binarios / Scripts Sospechosos en una Ubicación de Autoinicio (vía file_event)
Ver
IOCs (Correos Electrónicos) para detectar: T1547.001 Claves de Ejecución del Registro/Carpeta de Inicio en MITRE ATT&CK Explicado
Ver
Detección de Persistencia Maliciosa a través de Claves de Ejecución del Registro de Windows [Evento del Registro de Windows]
Ver
Ejecución de Simulación
Prerrequisito: El Verificación Previa de Telemetría y Línea Base debe haber pasado.
Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (T1547.001) diseñada para activar la regla de detección. Los comandos y la narrativa reflejan directamente el TPP y apuntan a generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa y Comandos de Ataque:
Un adversario que ha obtenido derechos administrativos en el host objetivo quiere la ejecución persistente de un payload malicioso (C:Tempevil.exe). Para permanecer sigiloso, elige un método clásico de “vivir de la tierra”: escribiendo la ruta del payload en la HKLMSoftwareMicrosoftWindowsCurrentVersionRun clave. Esto garantiza la ejecución cada vez que el sistema se inicia, y debido a que la clave es una ubicación de autoinicio bien conocida, se alinea perfectamente con el enfoque de la regla de detección.- Crear el ejecutable malicioso (simulado con una simple copia de
cmd.exe). - Agregar un nuevo valor de cadena llamado
EvilAppapuntando al ejecutable malicioso. - Verifique que la entrada del registro exista (genera el evento de escritura).
- Crear el ejecutable malicioso (simulado con una simple copia de
-
Script de Prueba de Regresión:
# ------------------------------------------------- # Simular T1547.001 – Persistencia a través de Claves de Ejecución del Registro # ------------------------------------------------- $payloadPath = "C:Tempevil.exe" # 1. Desplegar un payload sustituto inofensivo (copiar cmd.exe) New-Item -ItemType Directory -Path "C:Temp" -Force | Out-Null Copy-Item -Path "$env:windirSystem32cmd.exe" -Destination $payloadPath -Force # 2. Escribir la clave de ejecución maliciosa (HKLM) $runKey = "HKLM:SoftwareMicrosoftWindowsCurrentVersionRun" New-ItemProperty -Path $runKey -Name "EvilApp" -Value $payloadPath -PropertyType String -Force # 3. Salida de confirmación (opcional) Write-Host "Clave de ejecución maliciosa creada:" -ForegroundColor Yellow Get-ItemProperty -Path $runKey -Name "EvilApp" # ------------------------------------------------- # Fin del script de simulación # ------------------------------------------------- -
Comandos de Limpieza:
# ------------------------------------------------- # Remover los artefactos de persistencia simulados # ------------------------------------------------- $runKey = "HKLM:SoftwareMicrosoftWindowsCurrentVersionRun" Remove-ItemProperty -Path $runKey -Name "EvilApp" -ErrorAction SilentlyContinue Remove-Item -Path "C:Tempevil.exe" -Force -ErrorAction SilentlyContinue # ------------------------------------------------- # Fin de la limpieza # -------------------------------------------------