T1547.001 у MITRE ATT&CK: Пояснення реєстру ключів запуску та папки автозавантаження
Стежити 
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
У статті описується, як зловмисники зловживають розділами реєстру Windows Run і папкою автозавантаження для підтримки стійкості на скомпрометованих системах. У ній викладені основні шляхи реєстру та місця в файловій системі, які зазвичай атакують зловмисники. Реальні приклади включають шкідливе програмне забезпечення CABINETRAT і маяк AdaptixC2. Ця активність відслідковується як T1547.001, підтехніка стійкості в MITRE ATT&CK.
Розслідування
Дослідники з Picus Security зафіксували кампанію CABINETRAT у жовтні 2025 року, яка створила Run ключ для запуску cmd.exe. У окремому випадку у вересні 2025 року аналітики спостерігали, як PowerShell-скрипт копіював шкідливий код у AppData та створював ярлик у папці автозавантаження для фреймворку AdaptixC2. Обидва випадки ілюструють, як Run ключі та ярлики автозавантаження залишаються ефективними методами підтримки стійкості в реальних атаках.
Пом’якшення
Захисники повинні постійно моніторити створення або зміну відомих шляхів Run ключів та шляхів папки автозавантаження. Організації повинні включити захист аудиту реєстру, застосувати контроль мінімальних привілеїв до облікових записів користувачів та використовувати контроль застосунків для блокування неавторизованих скриптів і файлів ярликів від запису в ці місця.
Відповідь
Коли виявляється підозріла активність Run ключа або папки автозавантаження, ізолюйте уражену кінцеву точку, зберіть змінені значення реєстру та пов’язані файли, і розпочніть криміналістичний аналіз. Видаліть шкідливі записи стійкості, зупиніть пов’язані процеси та скиньте будь-які скомпрометовані облікові дані. Правила виявлення слід оновити для відстеження виявлених індикаторів.
Хід атаки
Ми все ще оновлюємо цю частину. Зареєструйтеся, щоб отримувати повідомлення
Повідомити менеВиявлення
Можливі точки стійкості [ASEPs – Software/NTUSER Hive] (через registry_event)
Переглянути
Можливі точки стійкості [ASEPs – Software/NTUSER Hive] (через cmdline)
Переглянути
Можливе створення ярликів за допомогою Powershell (через powershell)
Переглянути
Підозрілі бінарні файли/скрипти в місці автозапуску (через file_event)
Переглянути
IOCs (Emails) для виявлення: T1547.001 Реєстр запусків/Папка автоматичного запуску в MITRE ATT&CK пояснено
Переглянути
Виявлення шкідливої стійкості через Run ключі реєстру Windows [Подія реєстру Windows]
Переглянути
Виконання моделювання
Передумова: Телеметрія та попередня перевірка бази повинні бути пройдені.
Мотивування: Цей розділ детально описує точне виконання техніки зловмисника (T1547.001), розробленої для запуску правила виявлення. Команди та наративи прямо відображають TTP та мають на меті генерувати точну телеметрію, яку очікує логіка виявлення.
-
Атака й команди:
Зловмисник, який здобув права адміністратора на цільовій системі, хоче постійно виконувати шкідливий код (C:Tempevil.exe). Щоб залишитися непоміченим, вони обирають класичний метод “живучи за рахунок системи”: запис шляху до шкідливого коду в HKLMSoftwareMicrosoftWindowsCurrentVersionRun ключ. Це гарантує виконання кожен раз при завантаженні системи, і оскільки ключ є загальновідомим місцем автозапуску, він ідеально відповідає фокусу правила виявлення.- Створіть шкідливий виконуваний файл (змодельований простим копіюванням
cmd.exe). - Додайте нове строкове значення з назвою
EvilAppвказуючи на шкідливий виконуваний файл. - Переконайтеся, що запис реєстру існує (генерує подію запису).
- Створіть шкідливий виконуваний файл (змодельований простим копіюванням
-
Скрипт регресійного тестування:
# ------------------------------------------------- # Моделюйте T1547.001 – стійкість Run ключів реєстру # ------------------------------------------------- $payloadPath = "C:Tempevil.exe" # 1. Розгортання безпечного замінювального навантаження (копія cmd.exe) New-Item -ItemType Directory -Path "C:Temp" -Force | Out-Null Copy-Item -Path "$env:windirSystem32cmd.exe" -Destination $payloadPath -Force # 2. Запис шкідливого Run ключа (HKLM) $runKey = "HKLM:SoftwareMicrosoftWindowsCurrentVersionRun" New-ItemProperty -Path $runKey -Name "EvilApp" -Value $payloadPath -PropertyType String -Force # 3. Підтвердження виходу (опціонально) Write-Host "Створений шкідливий Run ключ:" -ForegroundColor Yellow Get-ItemProperty -Path $runKey -Name "EvilApp" # ------------------------------------------------- # Кінець моделювання скрипту # ------------------------------------------------- -
Команди очищення:
# ------------------------------------------------- # Видаліть змодельовані артефакти стійкості # ------------------------------------------------- $runKey = "HKLM:SoftwareMicrosoftWindowsCurrentVersionRun" Remove-ItemProperty -Path $runKey -Name "EvilApp" -ErrorAction SilentlyContinue Remove-Item -Path "C:Tempevil.exe" -Force -ErrorAction SilentlyContinue # ------------------------------------------------- # Кінець очищення # -------------------------------------------------