フォローする 
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
この記事では、攻撃者がWindowsレジストリのランキーやスタートアップフォルダを利用して侵害されたシステムに持続性を維持する方法について説明しています。攻撃者が一般的に標的とする主要なレジストリパスやファイルシステムの場所を概説します。実際の例にはCABINETRATマルウェアとAdaptixC2ビーコンが含まれています。この活動は、MITRE ATT&CKフレームワークの持続性サブテクニックであるT1547.001として追跡されます。
調査
Picus Securityの研究者たちは、2025年10月にRunキーを作成して cmd.exeを起動するCABINETRATキャンペーンを文書化しました。別の2025年9月のケースでは、分析者がペイロードをAppDataにコピーし、スタートアップフォルダにショートカットを作成するAdaptixC2フレームワークのPowerShellスクリプトを観察しました。どちらの場合も、ランキーとスタートアップショートカットが現実の攻撃で有効な持続性の方法であることを示しています。
緩和策
防御者は、既知のランキーやスタートアップフォルダパスの作成または変更を継続的に監視すべきです。組織は保護されたレジストリ監査を有効にし、ユーザーアカウントへの最小権限管理を適用し、これらの場所に書き込まれる不正なスクリプトやショートカットファイルをブロックするためのアプリケーション制御を使用すべきです。
対応
疑わしいランキーやスタートアップフォルダの活動が特定された場合、影響を受けたエンドポイントを隔離し、変更されたレジストリ値やリンクされたファイルを収集し、フォレンジック解析を開始します。不正な持続性エントリを削除し、関連するプロセスを停止し、侵害された資格情報をリセットします。次に、検出ルールを更新して観察されたインジケーターを捕捉するようにします。
攻撃フロー
この部分はまだ更新中です。通知を受け取るためにサインアップしてください。
通知を希望検出
可能性のある持続性ポイント[ASEPs – Software/NTUSER Hive](registry_event経由)
表示
可能性のある持続性ポイント[ASEPs – Software/NTUSER Hive](cmdline経由)
表示
Powershellを使用したショートカット作成の可能性(powershell経由)
表示
自動起動場所における疑わしいバイナリ/スクリプト(file_event経由)
表示
検出するためのIOC(メール):MITRE ATT&CKでのT1547.001レジストリランキー/スタートアップフォルダの説明
表示
Windowsレジストリランキーを介した不正持続性の検出 [Windowsレジストリエベント]
表示
シミュレーション実行
前提条件:テレメトリとベースラインのプリフライトチェックが合格している必要があります。
根拠:このセクションでは、観察されたインジケーターを検出するために設計された攻撃者技術(T1547.001)の正確な実行を詳細に説明します。コマンドと説明はTTPを直接反映し、検出ロジックによって期待される正確なテレメトリを生成することを目的としています。
-
攻撃の説明とコマンド:
ターゲットホストで管理者権限を得た攻撃者は、悪意のあるペイロードを持続的に実行したいと考えています(C:Tempevil.exe)。ステルスを保つため、彼らは古典的な「生活の中で生きる」方法を選びました:ペイロードパスを HKLMSoftwareMicrosoftWindowsCurrentVersionRun キーに書き込むことです。これによりシステム起動時に毎回実行が保証され、このキーがよく知られた自動起動場所であるため、検出ルールの焦点に完全に一致します。- 悪意のある実行ファイルを作成する(
cmd.exe). - の単純なコピーでシミュレート)
EvilApp悪意のある実行ファイルを指し示す。 - レジストリエントリが存在することを確認する(書き込みイベントを生成)。
- 悪意のある実行ファイルを作成する(
-
回帰テストスクリプト:
# ------------------------------------------------- # T1547.001 – レジストリランキーの持続性をシミュレート # ------------------------------------------------- $payloadPath = "C:Tempevil.exe" # 1. 無害な代替ペイロードを展開する(cmd.exeをコピー) New-Item -ItemType Directory -Path "C:Temp" -Force | Out-Null Copy-Item -Path "$env:windirSystem32cmd.exe" -Destination $payloadPath -Force # 2. 悪意のあるランキーを書き込む(HKLM) $runKey = "HKLM:SoftwareMicrosoftWindowsCurrentVersionRun" New-ItemProperty -Path $runKey -Name "EvilApp" -Value $payloadPath -PropertyType String -Force # 3. 出力確認(オプション) Write-Host "悪意のあるランキーが作成されました:" -ForegroundColor Yellow Get-ItemProperty -Path $runKey -Name "EvilApp" # ------------------------------------------------- # シミュレーションスクリプト終了 # ------------------------------------------------- -
クリーンアップコマンド:
# ------------------------------------------------- # シミュレートされた持続性アーティファクトを削除 # ------------------------------------------------- $runKey = "HKLM:SoftwareMicrosoftWindowsCurrentVersionRun" Remove-ItemProperty -Path $runKey -Name "EvilApp" -ErrorAction SilentlyContinue Remove-Item -Path "C:Tempevil.exe" -Force -ErrorAction SilentlyContinue # ------------------------------------------------- # クリーンアップ終了 # -------------------------------------------------