ATT&CK T1060-Registry Run Keys / Startup Folder

Mitre ATT&CK

T1060-Registry Run Keys / Startup Folder（注册表运行键/启动文件夹）

ATT&CK中的描述

在注册表或启动文件夹中向“运行键”添加条目将导致在用户登陆时执行引用的程序，这些程序将在用户的上下文中执行，并具有账户的关联权限水平。

Windows系统中默认创建以下运行键：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

以下注册表项可用于设置持久性的启动文件夹：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

简单测试

1. 测试环境：Windows server2008 R2
2. 数据源：windows sysmon（sysmon需单独安装）
3. 测试方法 ：手动编辑注册表项添加“hi from hkcu run”和“hi from hklm run”，开机即自动启动并提示该消息。
4. 测试截图：
   
   
   
5. 检测规则：条件1 and (条件2 or 条件3 or 条件4)

条件	检测方法
条件 1	EventID = 1
条件 2	ParentImage = *\explorer.exe
条件 3	ParentImage = *\runonce.exe
条件 4	ParentImage = *\userinit.exe

6. LogParser检测输出：
   
7. 参考链接：
   https://blog.menasec.net/2019/03/how-to-hunt-for-processes-starting-from.html
   https://attack.mitre.org/techniques/T1060/

备注：以上测试均以个人理解为准，如有不妥欢迎指教。