Registry Run Keys / Startup Folder

T1547.001 Registry Run Keys / Startup Folder - Window

 

Description

 부팅 시 프로그램과 서비스를 시작하거나 로드할 때, windows 레지스트리는 시작폴더보다 우선이다. 보통의 RootKit은 Windows레지스트리 또는 화이트리스트 영역에 파일을 숨기기 때문에 전문적인 Malware 방지 솔루션이나 제품을 사용하지 않으면 감지가 힘들다.         이러한 악의적인 실행 키는 부팅마다 자동으로 실행되기 때문에, 지속적인 피해를 입는다.

 

Test

- 환경 : windows11(powershell:user)

 - 4개의 StartupFolder를 검사하는 스크립트를 실행했으나, 악성으로 보이는 파일이 나타나지 않았다.

 

 

 

참고문헌 : https://labs.jumpsec.com/running-once-running-twice-pwned-windows-registry-run-keys/