T1547.001 in MITRE ATT&CK: Registrierungs-Ausführungs-Schlüssel und Autostart-Ordner erklärt
Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Der Artikel beschreibt, wie Angreifer Windows Registry Run Keys und den Autostart-Ordner missbrauchen, um auf kompromittierten Systemen persistente Präsenz zu wahren. Er skizziert die wichtigsten Registry-Pfade und Dateisystemorte, die von Gegnern häufig ins Visier genommen werden. Reale Beispiele umfassen die CABINETRAT-Malware und ein AdaptixC2-Beacon. Diese Aktivität wird als T1547.001 verfolgt, eine Persistenz-Subtechnik im MITRE ATT&CK-Framework.
Untersuchung
Forscher bei Picus Security dokumentierten eine CABINETRAT-Kampagne im Oktober 2025, die einen Run-Schlüssel erstellte, um cmd.exezu starten. In einem separaten Fall im September 2025 beobachteten Analysten ein PowerShell-Skript, das eine Nutzlast in AppData kopierte und eine Verknüpfung im Autostart-Ordner für das AdaptixC2-Framework erstellte. Beide Fälle illustrieren, wie Run-Schlüssel und Autostart-Verknüpfungen als effektive Persistenzmethoden in realen Angriffen bestehen bleiben.
Schutzmaßnahmen
Verteidiger sollten kontinuierlich die Erstellung oder Änderung bekannter Run-Schlüssel und Autostart-Ordner-Pfade überwachen. Organisationen sollten geschützte Registry-Überwachung aktivieren, Prinzipien der geringstmöglichen Rechte auf Benutzerkonten anwenden und Anwendungssteuerung nutzen, um zu verhindern, dass unautorisierte Skripte und Verknüpfungsdateien an diesen Orten geschrieben werden.
Reaktion
Wenn verdächtige Aktivitäten bei Run-Schlüsseln oder dem Autostart-Ordner festgestellt werden, isolieren Sie den betroffenen Endpunkt, sammeln Sie die geänderten Registry-Werte und verknüpften Dateien und beginnen Sie mit der forensischen Analyse. Entfernen Sie die böswilligen Persistenzeinträge, beenden Sie die zugehörigen Prozesse und setzen Sie alle kompromittierten Anmeldedaten zurück. Erkennungsregeln sollten dann aktualisiert werden, um die beobachteten Indikatoren zu erfassen.
Angriffsablauf
Wir aktualisieren diesen Teil noch. Melden Sie sich an, um benachrichtigt zu werden
Benachrichtige michErkennungen
Mögliche Persistenzpunkte [ASEPs – Software/NTUSER Hive] (via registry_event)
Ansehen
Mögliche Persistenzpunkte [ASEPs – Software/NTUSER Hive] (via cmdline)
Ansehen
Mögliche Verknüpfungserstellung mit Powershell (via powershell)
Ansehen
Verdächtige Binärdateien / Skripte im Autostart-Pfad (via file_event)
Ansehen
IOCs (E-Mails) zur Erkennung: T1547.001 Registry Run Keys/Start Up Folder im MITRE ATT&CK erklärt
Ansehen
Erkennung von böswilliger Persistenz über Windows Registry Run Keys [Windows Registry Event]
Ansehen
Simulationsausführung
Voraussetzung: Die Telemetrie & Baseline Pre-check muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Adversary-Technik (T1547.001), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und Darstellungen spiegeln direkt die TTP wider und zielen darauf ab, die exakte Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.
-
Angriffserzählung & Befehle:
Ein Angreifer, der administrative Rechte auf dem Ziel-Host erlangt hat, möchte eine persistente Ausführung einer bösartigen Nutzlast (C:Tempevil.exe) erreichen. Um unauffällig zu bleiben, wählen sie eine klassische „living‑off‑the‑land“-Methode: den Pfad der Nutzlast in den HKLMSoftwareMicrosoftWindowsCurrentVersionRun Schlüssel zu schreiben. Dies garantiert die Ausführung bei jedem Systemstart, und da der Schlüssel ein bekannter Autostart-Ort ist, stimmt er perfekt mit dem Fokus der Erkennungsregel überein.- Erstellen Sie die bösartige ausführbare Datei (simuliert durch eine einfache Kopie von
cmd.exe). - Fügen Sie einen neuen String-Wert mit dem Namen
EvilApphinzu, der auf die bösartige ausführbare Datei verweist. - Überprüfen Sie, ob der Registrierungseintrag existiert (generiert das Schreibereignis).
- Erstellen Sie die bösartige ausführbare Datei (simuliert durch eine einfache Kopie von
-
Regressionstest-Skript:
# ------------------------------------------------- # Simulierung von T1547.001 – Registry Run Keys Persistenz # ------------------------------------------------- $payloadPath = "C:Tempevil.exe" # 1. Harmlosen Platzhalter bereitstellen (kopieren cmd.exe) New-Item -ItemType Directory -Path "C:Temp" -Force | Out-Null Copy-Item -Path "$env:windirSystem32cmd.exe" -Destination $payloadPath -Force # 2. Den bösartigen Run-Schlüssel schreiben (HKLM) $runKey = "HKLM:SoftwareMicrosoftWindowsCurrentVersionRun" New-ItemProperty -Path $runKey -Name "EvilApp" -Value $payloadPath -PropertyType String -Force # 3. Ausgabe-Bestätigung (Optional) Write-Host "Bösartiger Run-Schlüssel erstellt:" -ForegroundColor Yellow Get-ItemProperty -Path $runKey -Name "EvilApp" # ------------------------------------------------- # Ende des Simulationsskripts # ------------------------------------------------- -
Aufräumungs-Befehle:
# ------------------------------------------------- # Entfernen der simulierten Persistenz-Artefakte # ------------------------------------------------- $runKey = "HKLM:SoftwareMicrosoftWindowsCurrentVersionRun" Remove-ItemProperty -Path $runKey -Name "EvilApp" -ErrorAction SilentlyContinue Remove-Item -Path "C:Tempevil.exe" -Force -ErrorAction SilentlyContinue # ------------------------------------------------- # Ende der Aufräumung # -------------------------------------------------