青藤细述ATT&CK框架：攻击者最常用的TOP7攻击技术及其检测策略(5)

4. “注册表run key/启动文件夹”是实现持久化的关键动作
在注册表的“run keys”或启动文件夹中添加一个条目，将会导致用户登录时，该程序会运行该条目。这些程序将在用户的上下文中执行，并具有与账户相同的权限级别。
注册表run key和启动文件夹历来都是各类攻击者实现持久化的重要目标。根据Microsoft文档，对注册表run key的支持至少可以追溯到Windows95。有可靠记录表明，作为一种持久化机制，加之易于实施，该技术在一定程度上解释了其为何在攻击者中使用非常普遍。攻击者仅需要用户级别的权限，并具有写入注册表或将有效负载拖放到启动文件夹的功能。
虽然实现起来相对简单，但非常有效。随着时间的推移，该技术已经从引用可执行有效负载发展为加载动态库，并利用了其他技术（例如regsvr32和脚本执行）。针对该攻击技术，可以在持久化机制生命周期的三个不同点上有效地实现检测：安装时、休眠时以及触发时。
在安装时检测run key和启动文件夹项目需要监视特定注册表和文件系统路径的变更情况。可以通过平台文档或通过引用一些实用程序来报告是否存在这些配置来列举这些路径。此外，可能会成功检查任何已知与这些路径结合使用的文件类型，例如LNK。要检测已安装且处于休眠状态的持久化，可以检查同一注册表和文件系统路径的内容中是否存在可疑条目。创建一个基准并定期监视是否有偏移基准的情况，以此来减少调查工作量。
当然，持久化永远不会单独发生，它始终是达到目的的手段。因此，监视预期某些变更会涉及哪些进程以及尚未观察到的进程之间的关系也是非常有效的。
5. “伪装”是绕过防御的最佳办法
伪装是指为了逃避防御和观察而操纵或滥用合法或恶意的可执行文件的名称或位置的情况。攻击者利用伪装作为绕过防御技术的手段或欺骗手段。攻击者使用该技术通过使恶意可执行文件和软件看起来合法或预期来破坏机器和人工分析。伪装的实现范围很广，从简单地重命名可执行文件（从而让这些文件看起来更像是正常系统进程）到更复杂的方法（例如命令行欺骗）。伪装在攻击者中使用很普遍，因为它满足了绕过防御技术和人为分析的简单需求，并且相对容易实施。
检测伪装技术的一种策略是利用二进制元数据，例如在文件创建或签名时的原始文件名。例如，如果要查找wscript.exe，则应查找具有该名称的二进制文件，也应查找具有原始文件名WScript的任何二进制文件。