Nenne die gängigen Wege, auf denen Malware auf einem Windows-Host über Neustarts hinweg persistiert, und wie du danach jagen würdest.
Kurzantwort
Persistenz ist, wie Malware Neustarts und Abmeldungen übersteht. Die typischen unter Windows sind Registry-Run/RunOnce-Schlüssel (HKLM und HKCU), geplante Aufgaben und Windows-Dienste, dazu Autostart-Ordner, WMI-Ereignisabonnements und DLL-Hijacks. Du jagst sie mit autoruns/Sysinternals, Sysmon und Ereignisprotokollen – auf der Suche nach unsignierten Binaries, seltsamen Pfaden wie %AppData% und Einträgen, die direkt nach der Erstkompromittierung erstellt wurden.
Persistenz ist die Antwort des Angreifers auf „Was passiert, wenn die Maschine neu startet?". Wenn das Implantat einen Neustart oder eine Abmeldung nicht übersteht, stirbt der Einbruch. Interviewer stellen diese Frage, um zu sehen, ob du weißt, wo sich Angreifer verstecken und – ebenso wichtig – wo du suchen würdest während einer Jagd oder Incident Response.
Die typischen Mechanismen
- Registry-Run-Schlüssel –
...\CurrentVersion\RunundRunOnceunter sowohl HKLM (läuft für jeden Nutzer, braucht Admin) als auch HKCU (läuft bei der Anmeldung dieses Nutzers). Einfach, häufig und leicht zu inspizieren. - Geplante Aufgaben – erstellt über
schtasksoder die Aufgabenplanung; können bei der Anmeldung, per Timer oder per Ereignis laufen, oft unter SYSTEM. Gespeichert unterC:\Windows\System32\Tasks. - Windows-Dienste – registriert unter
...\Services; Autostart-Dienste starten beim Boot mit hohen Rechten, was sie für dauerhafte Standbeine attraktiv macht.
Darüber hinaus beobachte den Autostart-Ordner, permanente WMI-Ereignisabonnements (dateilos und unauffällig), DLL-Suchreihenfolge-Hijacking und Accessibility-/IFEO-„Image Hijacks". MITRE ATT&CK katalogisiert Dutzende unter der Taktik Persistence.
Wie man jagt
Erstelle eine Baseline dessen, was automatisch starten sollte, und suche dann nach Abweichungen. Sysinternals Autoruns zählt praktisch jeden Autostart-Ort auf und markiert unsignierte Einträge. Sysmon protokolliert Prozesserstellung, Registry-Änderungen und Dienstinstallationen; korreliere mit den Security-/System-Logs (z. B. Dienstinstallations-Ereignisse). Warnzeichen: Binaries, die aus %AppData%, %Temp% oder C:\Users\Public laufen, zufällige Dateinamen, unsignierte ausführbare Dateien und Einträge, die im selben Zeitfenster wie die Erstkompromittierung erstellt wurden.
Warum das wichtig ist
Eine solide Antwort listet die großen drei auf (Run-Schlüssel, geplante Aufgaben, Dienste), erwähnt den HKLM- vs. HKCU-Unterschied bei Rechten/Geltungsbereich, nennt unauffälligere Optionen wie WMI und erklärt den Jagdansatz. Das zeigt, dass du sowohl ein Standbein finden als auch darüber nachdenken kannst, wie ein Angreifer über Dauerhaftigkeit denkt.
Wahrscheinliche Anschlussfragen
- Was ist der Unterschied im Geltungsbereich zwischen einem HKLM- und einem HKCU-Run-Schlüssel?
- Warum sind WMI-Ereignisabonnements eine unauffälligere Persistenzmethode?
- Welche Sysmon-Ereignis-IDs helfen, neue Dienste oder geplante Aufgaben zu erkennen?