T1547.001 no MITRE ATT&CK: Chaves de Execução de Registro e Pasta de Inicialização Explicadas
Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
O artigo descreve como atacantes abusam das Chaves de Execução do Registro do Windows e a Pasta de Inicialização para manter a persistência em sistemas comprometidos. Ele delineia os caminhos chave do registro e as localizações do sistema de arquivos que os adversários comumente visam. Exemplos do mundo real incluem o malware CABINETRAT e um beacon AdaptixC2. Esta atividade é rastreada como T1547.001, uma sub-técnica de persistência no framework MITRE ATT&CK.
Investigação
Pesquisadores da Picus Security documentaram uma campanha CABINETRAT em outubro de 2025 que criou uma chave de Execução para lançar cmd.exe. Em um caso separado em setembro de 2025, analistas observaram um script PowerShell copiando um payload para o AppData e criando um atalho na Pasta de Inicialização para o framework AdaptixC2. Ambos os casos ilustram como as chaves de Execução e atalhos de Inicialização continuam sendo métodos eficazes de persistência em ataques do mundo real.
Mitigação
Os defensores devem monitorar continuamente a criação ou modificação de caminhos conhecidos das chaves de Execução e Pastas de Inicialização. As organizações devem habilitar auditoria protegida do registro, aplicar controles de privilégio mínimo às contas de usuário, e usar controle de aplicação para bloquear scripts não autorizados e arquivos de atalho de serem gravados nesses locais.
Resposta
Quando uma atividade suspeita de chave de Execução ou Pasta de Inicialização é identificada, isole o endpoint afetado, colete os valores do registro alterados e os arquivos relacionados, e comece a análise forense. Remova as entradas maliciosas de persistência, pare os processos relacionados e redefina todas as credenciais comprometidas. As regras de detecção devem ser então atualizadas para capturar os indicadores observados.
Fluxo de Ataque
Ainda estamos atualizando esta parte. Inscreva-se para ser notificado
Notifique-meDetecções
Pontos Possíveis de Persistência [ASEPs – Software/NTUSER Hive] (via evento de registro)
Ver
Pontos Possíveis de Persistência [ASEPs – Software/NTUSER Hive] (via linha de comando)
Ver
Criação Possível de Atalho Usando PowerShell (via powershell)
Ver
Binário / Scripts Suspeitos em Local de Inicialização Automática (via evento de arquivo)
Ver
IOCs (E-mails) para detectar: T1547.001 Chaves de Execução do Registro/Pasta de Inicialização no MITRE ATT&CK Explicado
Ver
Detecção de Persistência Maliciosa via Chaves de Execução do Registro do Windows [Evento de Registro do Windows]
Ver
Execução de Simulação
Pré-requisito: O Check de Pré-Voô de Telemetria & Base precisa ter passado.
Racional: Esta seção detalha a execução precisa da técnica adversária (T1547.001) projetada para acionar a regra de detecção. Os comandos e a narrativa refletem diretamente o TTP e visam gerar a telemetria exata esperada pela lógica de detecção.
-
Narrativa & Comandos do Ataque:
Um adversário que obteve direitos administrativos no host alvo quer execução persistente de um payload malicioso (C:Tempevil.exe). Para permanecer furtivo, eles escolhem um método clássico de “viver da terra”: escrevendo o caminho do payload para a chave HKLMSoftwareMicrosoftWindowsCurrentVersionRun . Isso garante a execução toda vez que o sistema inicializa, e como a chave é uma localização de inicialização automática bem conhecida, alinha-se perfeitamente com o foco da regra de detecção.- Crie o executável malicioso (simulado com uma cópia simples de
cmd.exe). - Adicione um novo valor de string nomeado
EvilAppapontando para o executável malicioso. - Verifique se a entrada do registro existe (gera o evento de gravação).
- Crie o executável malicioso (simulado com uma cópia simples de
-
Script de Teste de Regressão:
# ------------------------------------------------- # Simule T1547.001 – persistência em Chaves de Execução do Registro # ------------------------------------------------- $payloadPath = "C:Tempevil.exe" # 1. Implemente um payload substituto inofensivo (cópia do cmd.exe) New-Item -ItemType Directory -Path "C:Temp" -Force | Out-Null Copy-Item -Path "$env:windirSystem32cmd.exe" -Destination $payloadPath -Force # 2. Escreva a chave de Execução maliciosa (HKLM) $runKey = "HKLM:SoftwareMicrosoftWindowsCurrentVersionRun" New-ItemProperty -Path $runKey -Name "EvilApp" -Value $payloadPath -PropertyType String -Force # 3. Saída de confirmação (opcional) Write-Host "Chave de Execução maliciosa criada:" -ForegroundColor Yellow Get-ItemProperty -Path $runKey -Name "EvilApp" # ------------------------------------------------- # Fim do script de simulação # ------------------------------------------------- -
Comandos de Limpeza:
# ------------------------------------------------- # Remova os artefatos de persistência simulados # ------------------------------------------------- $runKey = "HKLM:SoftwareMicrosoftWindowsCurrentVersionRun" Remove-ItemProperty -Path $runKey -Name "EvilApp" -ErrorAction SilentlyContinue Remove-Item -Path "C:Tempevil.exe" -Force -ErrorAction SilentlyContinue # ------------------------------------------------- # Fim da limpeza # -------------------------------------------------