Hunting for Persistence: Registry Run Keys / Startup Folder
Hepinize selamlar, bu makalemde sizlere saldırganların hedef sistemlerde kalıcılık sağlamak için kullandıkları, MITRE ATT&CK matrisinde T1547.001 ATT&CK ID’sine karşılık gelen Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder tekniğini anlatmaya çalışacağım. Saldırganlar sistemlerde ilk erişimlerini sağladıktan sonra, sistemler üzerine erişimlerini devam ettirebilmek için kendilerini koruma altına almak isterler. Kısacası sistemler üzerinde kalıcılıklarını devam ettirmeyi amaçlarlar. Persistence (kalıcılık) Kalıcılık, saldırgan kişi ya da grupların hedef sistemlere initial access (ilk erişim) sağladıktan sonra erişimlerinin kesintiye uğramasını engellemek için kullandıkları yöntemler olarak adlandırılmaktadır. Hedef sistemlerde persistence(kalıcılık) sağlamak için kullanılan yöntemleri araştırdığınız zaman çok fazla teknik olduğunu göreceksiniz. Bunun için MITRE ATT&CK sayfasını ziyaret ederek detaylı araştırmalar yapabilirsiniz. Registry Run Keys / Startup Folder Registry ve Startup Folder, saldırganlar tarafından kalıcılık sağlanmak için kullanılan eski ama en etkili yöntemlerden biridir. Run Key’lere yeni bir giriş eklemek veya Startup Folder içeriğine bir kısayol oluşturmak kullanıcı oturum açtığında kötü amaçlı kodlarımızı çalıştırmamız…