Registry AutoRun

HKCU 및 HKLM에 있는 AutoRun 값들은 애플리케이션이 부팅 시 자동으로 시작될 수 있도록 허용합니다.

이는 주로 기본 제공 애플리케이션이나 써드파티 소프트웨어를 시작하는데 사용되는 것을 흔히 볼 수 있습니다.

# WindowsDefender 라는 이름의 항목을 삽입하여 악성코드가 자동으로 실행되게 설정
reg add "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "WindowsDefender" /t REG_SZ /d <PATH> /f 

# 등록된 레지스트리를 확인
reg query "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"

일반적으로 HKLM AutoRun이 페이로드를 System 권한으로 실행한다고 알려져 있지만 사실은 아닙니다.

HKCU AutoRun은 해당 하이브(Hive)의 소유자가 로그인 할 때만 실행됩니다.

HKLM AutoRun은 사용자에 무관하게 로컬 머신에 접속 시 실행되지만, 접속한 사용자의 권한으로 실행됩니다.