SOC Prime Bias: Середній

25 Mar 2026 18:25

picussecurity.com

T1547.001 у MITRE ATT&CK: Пояснення реєстру ключів запуску та папки автозавантаження

Ruslan Mikhalov Керівник досліджень загроз у SOC Prime

Стежити

T1547.001 у MITRE ATT&CK: Пояснення реєстру ключів запуску та папки автозавантаження

Detection stack

AIDR
Alert
ETL
Query

Звіт про загрози
Потік атаки
Виявлення
Симуляції

Резюме

У статті описується, як зловмисники зловживають розділами реєстру Windows Run і папкою автозавантаження для підтримки стійкості на скомпрометованих системах. У ній викладені основні шляхи реєстру та місця в файловій системі, які зазвичай атакують зловмисники. Реальні приклади включають шкідливе програмне забезпечення CABINETRAT і маяк AdaptixC2. Ця активність відслідковується як T1547.001, підтехніка стійкості в MITRE ATT&CK.

Розслідування

Дослідники з Picus Security зафіксували кампанію CABINETRAT у жовтні 2025 року, яка створила Run ключ для запуску cmd.exe. У окремому випадку у вересні 2025 року аналітики спостерігали, як PowerShell-скрипт копіював шкідливий код у AppData та створював ярлик у папці автозавантаження для фреймворку AdaptixC2. Обидва випадки ілюструють, як Run ключі та ярлики автозавантаження залишаються ефективними методами підтримки стійкості в реальних атаках.

Пом’якшення

Захисники повинні постійно моніторити створення або зміну відомих шляхів Run ключів та шляхів папки автозавантаження. Організації повинні включити захист аудиту реєстру, застосувати контроль мінімальних привілеїв до облікових записів користувачів та використовувати контроль застосунків для блокування неавторизованих скриптів і файлів ярликів від запису в ці місця.

Відповідь

Коли виявляється підозріла активність Run ключа або папки автозавантаження, ізолюйте уражену кінцеву точку, зберіть змінені значення реєстру та пов’язані файли, і розпочніть криміналістичний аналіз. Видаліть шкідливі записи стійкості, зупиніть пов’язані процеси та скиньте будь-які скомпрометовані облікові дані. Правила виявлення слід оновити для відстеження виявлених індикаторів.

Хід атаки

Ми все ще оновлюємо цю частину. Зареєструйтеся, щоб отримувати повідомлення

Повідомити мене

Виявлення

Можливі точки стійкості [ASEPs – Software/NTUSER Hive] (через registry_event)

Команда SOC Prime

24 березня 2026

Переглянути

Можливі точки стійкості [ASEPs – Software/NTUSER Hive] (через cmdline)

Команда SOC Prime

24 березня 2026

Переглянути

Можливе створення ярликів за допомогою Powershell (через powershell)

Команда SOC Prime

24 березня 2026

Переглянути

Підозрілі бінарні файли/скрипти в місці автозапуску (через file_event)

Команда SOC Prime

24 березня 2026

Переглянути

IOCs (Emails) для виявлення: T1547.001 Реєстр запусків/Папка автоматичного запуску в MITRE ATT&CK пояснено

AI правила SOC Prime

24 березня 2026

Переглянути

Виявлення шкідливої стійкості через Run ключі реєстру Windows [Подія реєстру Windows]

AI правила SOC Prime

24 березня 2026

Переглянути

Виконання моделювання

Передумова: Телеметрія та попередня перевірка бази повинні бути пройдені.

Мотивування: Цей розділ детально описує точне виконання техніки зловмисника (T1547.001), розробленої для запуску правила виявлення. Команди та наративи прямо відображають TTP та мають на меті генерувати точну телеметрію, яку очікує логіка виявлення.

Атака й команди:
Зловмисник, який здобув права адміністратора на цільовій системі, хоче постійно виконувати шкідливий код (C:Tempevil.exe). Щоб залишитися непоміченим, вони обирають класичний метод “живучи за рахунок системи”: запис шляху до шкідливого коду в HKLMSoftwareMicrosoftWindowsCurrentVersionRun ключ. Це гарантує виконання кожен раз при завантаженні системи, і оскільки ключ є загальновідомим місцем автозапуску, він ідеально відповідає фокусу правила виявлення.
1. Створіть шкідливий виконуваний файл (змодельований простим копіюванням cmd.exe).
2. Додайте нове строкове значення з назвою EvilApp вказуючи на шкідливий виконуваний файл.
3. Переконайтеся, що запис реєстру існує (генерує подію запису).

Скрипт регресійного тестування:

# -------------------------------------------------
# Моделюйте T1547.001 – стійкість Run ключів реєстру
# -------------------------------------------------
$payloadPath = "C:Tempevil.exe"

# 1. Розгортання безпечного замінювального навантаження (копія cmd.exe)
New-Item -ItemType Directory -Path "C:Temp" -Force | Out-Null
Copy-Item -Path "$env:windirSystem32cmd.exe" -Destination $payloadPath -Force

# 2. Запис шкідливого Run ключа (HKLM)
$runKey = "HKLM:SoftwareMicrosoftWindowsCurrentVersionRun"
New-ItemProperty -Path $runKey -Name "EvilApp" -Value $payloadPath -PropertyType String -Force

# 3. Підтвердження виходу (опціонально)
Write-Host "Створений шкідливий Run ключ:" -ForegroundColor Yellow
Get-ItemProperty -Path $runKey -Name "EvilApp"
# -------------------------------------------------
# Кінець моделювання скрипту
# -------------------------------------------------

Команди очищення:

# -------------------------------------------------
# Видаліть змодельовані артефакти стійкості
# -------------------------------------------------
$runKey = "HKLM:SoftwareMicrosoftWindowsCurrentVersionRun"
Remove-ItemProperty -Path $runKey -Name "EvilApp" -ErrorAction SilentlyContinue

Remove-Item -Path "C:Tempevil.exe" -Force -ErrorAction SilentlyContinue
# -------------------------------------------------
# Кінець очищення
# -------------------------------------------------

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам розпочати та отримати негайну цінність, забронюйте зустріч зараз з експертами SOC Prime.

Приєднатися безкоштовно