t1547-001-registry-run-keys-startup-folder

# T1547.001 - Registry Run Keys / Startup Folder ## Visão Geral T1547.001 é uma sub-técnica de [[t1547-boot-logon-autostart-execution|T1547 - Execução na Inicialização]] que abrange dois mecanismos clássicos de persistência no Windows: **chaves Run do Registro** e a **pasta Startup**. Ambos garantem que um programa sejá executado automaticamente toda vez que um usuário fizer login - sem qualquer intervenção adicional do adversário. É uma das técnicas de persistência mais exploradas na história da segurança ofensiva. Sua simplicidade, combinada com a capacidade de sobreviver a reinicializações, a torna atraente tanto para grupos APT sofisticados quanto para operadores de malware financeiramente motivados. ```mermaid graph TB A([Adversário com acesso inicial]) --> B{Mecanismo escolhido} B --> C[Chaves Run do Registro] B --> D[Pasta Startup] C --> C1[HKCU\\...\\CurrentVersion\\Run] C --> C2[HKLM\\...\\CurrentVersion\\Run] C --> C3[RunOnce / RunOnceEx] C --> C4[RunServices / RunServicesOnce] C --> C5[Policies\\Explorer\\Run] D --> D1[Startup do usuário atual<br/>AppData\\Roaming\\...\\Startup] D --> D2[Startup global<br/>ProgramData\\...\\StartUp] C1 & C2 & C3 & C4 & C5 & D1 & D2 --> E([Execução automática no login]) E --> F[Carrega payload ou RAT] F --> G{Objetivos} G --> G1[Espionagem] G --> G2[Roubo de credenciais] G --> G3[Ransomware] G --> G4[Acesso permanente ao ambiente] ``` ## Técnica Pai Esta é uma sub-técnica de [[t1547-boot-logon-autostart-execution|T1547 - T1547 - Boot or Logon Autostart Execution]]. ## Como Funciona ### Chaves Run do Registro O Windows verifica automaticamente um conjunto de chaves do Registro em cada login de usuário e executa todos os programas listados nelas. Os locais mais comuns: **Escopo do usuário atual (HKCU):** - `HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run` - `HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce` - `HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices` - `HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce` **Escopo da máquina (HKLM - requer privilégio elevado):** - `HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run` - `HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce` - `HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx` **Controle via política:** - `HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run` - `HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run` **Boot antecipado:** - `HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager` (valor `BootExecute`) A variante **RunOnceEx** permite carregar DLLs como dependências usando a subchave `Depend` - técnica usada para injetar bibliotecas maliciosas sem criar entradas diretas em Run. ### Pasta Startup Qualquer executável ou atalho colocado nas pastas de Startup é executado automaticamente no login: - **Usuário atual:** `C:\Users\[Username]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup` - **Todos os usuários:** `C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp` O adversário pode escrever diretamente nessas pastas (escopo de usuário não requer elevação) ou modificar as chaves de Registro que controlam onde o Windows procura essas pastas: - `HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders` - `HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders` ### Evasão por Mascaramento Adversários frequentemente combinam T1547.001 com [[t1036-masquerading|T1036 - Mascaramento]], nomeando as entradas do Registro e os executáveis de forma a imitar software legítimo (ex: `OneDriveSetup.exe`, `WindowsDefender.exe`). Isso dificulta a triagem manual de entradas suspeitas. ## Contexto de Uso Esta técnica é transversal a quase todos os estágios pós-comprometimento. Após obter acesso inicial - frequentemente via [[t1566-phishing|T1566 - Phishing]] ou exploração de vulnerabilidade -, o adversário estabelece persistência antes de avançar para reconhecimento ou movimentação lateral. A execução se dá no contexto do usuário logado, herdando suas permissões. Entradas em `HKLM` ou na pasta Startup global afetam qualquer usuário que faça login na máquina - ampliando o alcance da persistência em ambientes multiusuário. Grupos como [[g0007-apt28|APT28]] e [[g0059-magic-hound|Magic Hound]] usam esta técnica para manter acesso persistente em ambientes de governo e defesa. [[g0139-teamtnt|TeamTNT]] a empregou em campanhas contra infraestrutura de nuvem comprometida com acesso a endpoints Windows. [[g0048-rtm|RTM]], ativo no setor financeiro do Leste Europeu e com histórico de ataques no Brasil, usa Run Keys para garantir a persistência do seu RAT homônimo. ## Softwares Associados | Malware | Categoria | Uso da Técnica | |---------|-----------|----------------| | [[s0331-agent-tesla\|Agent Tesla]] | Infostealer / RAT | Run key para persistência após infecção inicial | | [[s0198-netwire\|NETWIRE]] | RAT | Entrada em HKCU\Run para sobreviver ao reboot | | [[s0386-ursnif\|Ursnif]] | Banking Trojan | Startup folder + Run key combinados | | [[s0082-emissary\|Emissary]] | Backdoor | Run key para execução no login | | [[s0124-pisloader\|Pisloader]] | Downloader | Persistência via HKCU\Run | | [[s0093-backdooroldrea\|Backdoor.Oldrea]] | Backdoor ICS | Múltiplas chaves Run para redundância | | [[s1044-funnydream\|FunnyDream]] | Backdoor | Run key em campanhas de espionagem asiáticas | ## Detecção > [!warning] Fontes de dados para detecção > - **Criação de chaves no Registro:** monitorar `HKCU\...\Run`, `HKLM\...\Run` e equivalentes para valores novos ou modificados > - **Modificação de arquivos na pasta Startup:** alertar em criação ou escrita em `AppData\Roaming\...\Startup` e `ProgramData\...\StartUp` > - **Processos filhos inesperados de explorer.exe:** processos iniciados no login via Startup devem ser incomuns para o perfil da máquina > - **Comandos `reg add` ou `Set-ItemProperty`:** capturar via EDR/Sysmon (Event ID 13 - RegistryEvent) > [!tip] Chaves de alta fidelidade > - Novos valores em `HKCU\...\Run` apontando para `%TEMP%`, `%APPDATA%` ou caminhos incomuns > - Entradas em `RunOnceEx\Depend` - raro em software legítimo > - Alterações na `BootExecute` fora de eventos de manutenção do sistema ## Mitigações Não há mitigação direta listada no MITRE ATT&CK para esta sub-técnica - a capacidade é nativa do Windows e necessária para software legítimo. O foco deve estar na **detecção precoce** e no **controle de acesso**: - Restringir escrita em `HKLM\...\Run` a administradores (padrão do Windows, mas verificar GPO) - Monitorar continuamente as chaves de Run com soluções de EDR - Implementar aplicação de allowlist de executáveis via [[m1038-execution-prevention|M1038 - Prevenção de Execução]] ## Threat Actors que Usam - [[g0073-apt19|APT19]] - espionagem corporativa, alvos de tecnologia e defesa - [[g0067-apt37|APT37]] - operações norte-coreanas contra Coreia do Sul e parceiros - [[g0087-apt39|APT39]] - coleta de informações pessoais, espionagem iraniana - [[g1018-ta2541|TA2541]] - ameaça persistente ao setor de aviação - [[g0048-rtm|RTM]] - crime financeiro, alvos em Leste Europeu e Brasil - [[g0059-magic-hound|Magic Hound]] - campanhas iranianas contra governo e energia - [[g1046-storm-1811|Storm-1811]] - operações de ransomware com Black Basta - [[g0100-inception-framework|Inception]] - espionagem APT, alvos governamentais europeus - [[g0007-apt28|APT28]] - GRU, campanhas de espionagem NATO e governo - [[g0139-teamtnt|TeamTNT]] - ataques a infraestrutura cloud e containers --- *Fonte: MITRE ATT&CK - T1547.001, versão 16.2*