T1547.001 in MITRE ATT&CK: Chiavi di esecuzione del registro e cartella di avvio spiegate
Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Sintesi
L’articolo descrive come gli attaccanti abusano delle Run Key del Registro di Windows e della Cartella di Avvio per mantenere la persistenza sui sistemi compromessi. Illustra i percorsi chiave del registro e le posizioni del file system che gli avversari comunemente prendono di mira. Gli esempi reali includono il malware CABINETRAT e un beacon AdaptixC2. Questa attività è monitorata come T1547.001, una sotto-tecnica di persistenza nel framework MITRE ATT&CK.
Indagine
I ricercatori di Picus Security hanno documentato una campagna CABINETRAT nell’ottobre 2025 che ha creato una Run Key per avviare cmd.exe. In un caso separato di settembre 2025, gli analisti hanno osservato uno script PowerShell copiare un payload in AppData e creare un collegamento nella Cartella di Avvio per il framework AdaptixC2. Entrambi i casi illustrano come le Run Key e i collegamenti di avvio rimangano metodi efficaci di persistenza negli attacchi reali.
Mitigazione
I difensori dovrebbero monitorare continuamente la creazione o la modifica delle Run Key e dei percorsi della Cartella di Avvio noti. Le organizzazioni dovrebbero abilitare l’auditing protetto del registro, applicare controlli di privilegio minimo agli account utente e utilizzare il controllo delle applicazioni per bloccare gli script e i file di collegamento non autorizzati dalla scrittura in queste posizioni.
Risposta
Quando viene identificata un’attività sospetta su Run Key o Cartella di Avvio, isolare l’endpoint interessato, raccogliere i valori del registro alterati e i file collegati, e iniziare l’analisi forense. Rimuovere le voci di persistenza dannose, interrompere i processi correlati e reimpostare eventuali credenziali compromesse. Le regole di rilevamento dovrebbero quindi essere aggiornate per catturare gli indicatori osservati.
Flusso di Attacco
Stiamo ancora aggiornando questa parte. Iscriviti per ricevere notifiche
NotificamiRilevamenti
Possibili Punti di Persistenza [ASEPs – Software/NTUSER Hive] (via registry_event)
Vista
Possibili Punti di Persistenza [ASEPs – Software/NTUSER Hive] (via cmdline)
Vista
Possibile Creazione di Collegamenti Usando Powershell (via powershell)
Vista
Binario / Script Sospetto in Posizione di Avvio Automatico (via file_event)
Vista
Email IOCs per rilevare: T1547.001 Registro Run Keys/Cartella di Avvio nel MITRE ATT&CK Spiegato
Vista
Rilevamento di Persistenza Dannosa tramite Run Keys del Registro di Windows [Evento del Registro di Windows]
Vista
Esecuzione di Simulazione
Prerequisito: Il Controllo Preliminare di Telemetria & Baseline deve essere stato superato.
Razionale: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (T1547.001) progettata per attivare la regola di rilevamento. I comandi e la narrazione riflettono direttamente il TTP e mirano a generare la telemetria esatta attesa dalla logica di rilevamento.
-
Narrativa e Comandi di Attacco:
Un avversario che ha ottenuto i diritti amministrativi sull’host target vuole l’esecuzione persistente di un payload dannoso (C:Tempevil.exe). Per rimanere furtivo, scelgono un metodo classico “living-off-the-land”: scrivere il percorso del payload su HKLMSoftwareMicrosoftWindowsCurrentVersionRun chiave. Questo garantisce l’esecuzione ogni volta che il sistema si avvia e poiché la chiave è un noto punto di avvio automatico, si allinea perfettamente con il focus della regola di rilevamento.- Creare l’eseguibile dannoso (simulato con una semplice copia di
cmd.exe). - Aggiungere un nuovo valore stringa chiamato
EvilApppuntando all’eseguibile malevolo. - Verificare l’esistenza della voce del registro (genera l’evento di scrittura).
- Creare l’eseguibile dannoso (simulato con una semplice copia di
-
Script di Test di Regressione:
# ------------------------------------------------- # Simulare la persistenza T1547.001 – Registry Run Keys # ------------------------------------------------- $payloadPath = "C:Tempevil.exe" # 1. Distribuire un payload innocuo (copia cmd.exe) New-Item -ItemType Directory -Path "C:Temp" -Force | Out-Null Copy-Item -Path "$env:windirSystem32cmd.exe" -Destination $payloadPath -Force # 2. Scrivere la Run Key malevola (HKLM) $runKey = "HKLM:SoftwareMicrosoftWindowsCurrentVersionRun" New-ItemProperty -Path $runKey -Name "EvilApp" -Value $payloadPath -PropertyType String -Force # 3. Conferma dell'output (opzionale) Write-Host "Chiave di Run malevola creata:" -ForegroundColor Yellow Get-ItemProperty -Path $runKey -Name "EvilApp" # ------------------------------------------------- # Fine dello script di simulazione # ------------------------------------------------- -
Comandi di Pulizia:
# ------------------------------------------------- # Rimuovere gli artefatti di persistenza simulati # ------------------------------------------------- $runKey = "HKLM:SoftwareMicrosoftWindowsCurrentVersionRun" Remove-ItemProperty -Path $runKey -Name "EvilApp" -ErrorAction SilentlyContinue Remove-Item -Path "C:Tempevil.exe" -Force -ErrorAction SilentlyContinue # ------------------------------------------------- # Fine della pulizia # -------------------------------------------------