T1547.001 dans MITRE ATT&CK : Explication des clés de démarrage dans le registre et du dossier de démarrage
Suivre 
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
L’article décrit comment les attaquants abusent des clés Run du registre Windows et du dossier de démarrage pour maintenir leur persistance sur les systèmes compromis. Il détaille les chemins de registre clés et les emplacements du système de fichiers que les adversaires ciblent couramment. Les exemples réels incluent le malware CABINETRAT et une balise AdaptixC2. Cette activité est suivie sous T1547.001, une sous-technique de persistance dans le cadre MITRE ATT&CK.
Enquête
Les chercheurs de Picus Security ont documenté une campagne CABINETRAT en octobre 2025 qui créait une clé Run pour lancer cmd.exe. Dans un autre cas en septembre 2025, les analystes ont observé un script PowerShell copiant une charge utile dans AppData et créant un raccourci dans le dossier de démarrage pour le cadre AdaptixC2. Les deux cas illustrent comment les clés Run et les raccourcis de démarrage restent des méthodes de persistance efficaces dans les attaques du monde réel.
Atténuation
Les défenseurs doivent continuellement surveiller la création ou la modification des clés Run bien connues et des chemins du dossier de démarrage. Les organisations doivent activer l’audit protégé du registre, appliquer des contrôles de privilèges minimes aux comptes utilisateurs et utiliser un contrôle d’application pour bloquer les scripts non autorisés et les fichiers de raccourci d’être écrits à ces emplacements.
Réponse
Lorsqu’une activité suspecte de clé Run ou du dossier de démarrage est identifiée, isolez le point d’extrémité affecté, collectez les valeurs de registre modifiées et les fichiers liés, puis commencez l’analyse judiciaire. Supprimez les entrées de persistance malveillantes, arrêtez les processus associés et réinitialisez les identifiants compromis. Les règles de détection doivent ensuite être mises à jour pour capturer les indicateurs observés.
Flux d’attaque
Nous mettons encore à jour cette partie. Inscrivez-vous pour être notifié
Me notifierDétections
Points de persistance possibles [ASEPs – Logiciels/Ruche NTUSER] (via registry_event)
Voir
Points de persistance possibles [ASEPs – Logiciels/Ruche NTUSER] (via cmdline)
Voir
Création possible de raccourci utilisant Powershell (via powershell)
Voir
Binaire/Script suspect dans l’emplacement de démarrage automatique (via file_event)
Voir
IOC (Emails) pour détecter : T1547.001 Clés Run du registre/Dossier de démarrage dans MITRE ATT&CK expliqué
Voir
Détection de la persistance malveillante via les clés Run du registre Windows [Événement du registre Windows]
Voir
Exécution de la simulation
Prérequis : La Vérification Pré-vol de la Télémétrie et du Baseline doit avoir réussi.
Raisonnement : Cette section détaille l’exécution précise de la technique d’adversaire (T1547.001) conçue pour déclencher la règle de détection. Les commandes et le récit reflètent directement le TTP et visent à générer la télémétrie exacte attendue par la logique de détection.
-
Narratif d’Attaque & Commandes :
Un adversaire ayant obtenu des droits administratifs sur l’hôte cible veut une exécution persistante d’une charge utile malveillante (C:Tempevil.exe). Pour rester furtif, ils choisissent une méthode classique de « vivoter »: écrire le chemin de la charge utile dans la HKLMSoftwareMicrosoftWindowsCurrentVersionRun clé. Cela garantit l’exécution à chaque démarrage du système, et comme la clé est un emplacement de démarrage automatique bien connu, elle s’aligne parfaitement avec le focus de la règle de détection.- Créer l’exécutable malveillant (simulé par une simple copie de
cmd.exe). - Ajouter une nouvelle valeur de chaîne nommée
EvilApppointant vers l’exécutable malveillant. - Vérifier que l’entrée du registre existe (génère l’événement d’écriture).
- Créer l’exécutable malveillant (simulé par une simple copie de
-
Script de Test de Régression :
# ------------------------------------------------- # Simuler T1547.001 – Persistance des Clés Run du registre # ------------------------------------------------- $payloadPath = "C:Tempevil.exe" # 1. Déployer une charge utile de substitution inoffensive (copier cmd.exe) New-Item -ItemType Directory -Path "C:Temp" -Force | Out-Null Copy-Item -Path "$env:windirSystem32cmd.exe" -Destination $payloadPath -Force # 2. Écrire la clé Run malveillante (HKLM) $runKey = "HKLM:SoftwareMicrosoftWindowsCurrentVersionRun" New-ItemProperty -Path $runKey -Name "EvilApp" -Value $payloadPath -PropertyType String -Force # 3. Confirmation de sortie (optionnelle) Write-Host "Clé Run malveillante créée:" -ForegroundColor Yellow Get-ItemProperty -Path $runKey -Name "EvilApp" # ------------------------------------------------- # Fin du script de simulation # ------------------------------------------------- -
Commandes de Nettoyage :
# ------------------------------------------------- # Retirer les artefacts de persistance simulés # ------------------------------------------------- $runKey = "HKLM:SoftwareMicrosoftWindowsCurrentVersionRun" Remove-ItemProperty -Path $runKey -Name "EvilApp" -ErrorAction SilentlyContinue Remove-Item -Path "C:Tempevil.exe" -Force -ErrorAction SilentlyContinue # ------------------------------------------------- # Fin du nettoyage # -------------------------------------------------