Skip to content

Nenne die gängigen Wege, auf denen Malware auf einem Windows-Host über Neustarts hinweg persistiert, und wie du danach jagen würdest.

Kurzantwort

Persistenz ist, wie Malware Neustarts und Abmeldungen übersteht. Die typischen unter Windows sind Registry-Run/RunOnce-Schlüssel (HKLM und HKCU), geplante Aufgaben und Windows-Dienste, dazu Autostart-Ordner, WMI-Ereignisabonnements und DLL-Hijacks. Du jagst sie mit autoruns/Sysinternals, Sysmon und Ereignisprotokollen – auf der Suche nach unsignierten Binaries, seltsamen Pfaden wie %AppData% und Einträgen, die direkt nach der Erstkompromittierung erstellt wurden.

Persistenz ist die Antwort des Angreifers auf „Was passiert, wenn die Maschine neu startet?". Wenn das Implantat einen Neustart oder eine Abmeldung nicht übersteht, stirbt der Einbruch. Interviewer stellen diese Frage, um zu sehen, ob du weißt, wo sich Angreifer verstecken und – ebenso wichtig – wo du suchen würdest während einer Jagd oder Incident Response.

Die typischen Mechanismen

  • Registry-Run-Schlüssel...\CurrentVersion\Run und RunOnce unter sowohl HKLM (läuft für jeden Nutzer, braucht Admin) als auch HKCU (läuft bei der Anmeldung dieses Nutzers). Einfach, häufig und leicht zu inspizieren.
  • Geplante Aufgaben – erstellt über schtasks oder die Aufgabenplanung; können bei der Anmeldung, per Timer oder per Ereignis laufen, oft unter SYSTEM. Gespeichert unter C:\Windows\System32\Tasks.
  • Windows-Dienste – registriert unter ...\Services; Autostart-Dienste starten beim Boot mit hohen Rechten, was sie für dauerhafte Standbeine attraktiv macht.

Darüber hinaus beobachte den Autostart-Ordner, permanente WMI-Ereignisabonnements (dateilos und unauffällig), DLL-Suchreihenfolge-Hijacking und Accessibility-/IFEO-„Image Hijacks". MITRE ATT&CK katalogisiert Dutzende unter der Taktik Persistence.

Wie man jagt

Erstelle eine Baseline dessen, was automatisch starten sollte, und suche dann nach Abweichungen. Sysinternals Autoruns zählt praktisch jeden Autostart-Ort auf und markiert unsignierte Einträge. Sysmon protokolliert Prozesserstellung, Registry-Änderungen und Dienstinstallationen; korreliere mit den Security-/System-Logs (z. B. Dienstinstallations-Ereignisse). Warnzeichen: Binaries, die aus %AppData%, %Temp% oder C:\Users\Public laufen, zufällige Dateinamen, unsignierte ausführbare Dateien und Einträge, die im selben Zeitfenster wie die Erstkompromittierung erstellt wurden.

Warum das wichtig ist

Eine solide Antwort listet die großen drei auf (Run-Schlüssel, geplante Aufgaben, Dienste), erwähnt den HKLM- vs. HKCU-Unterschied bei Rechten/Geltungsbereich, nennt unauffälligere Optionen wie WMI und erklärt den Jagdansatz. Das zeigt, dass du sowohl ein Standbein finden als auch darüber nachdenken kannst, wie ein Angreifer über Dauerhaftigkeit denkt.

Wahrscheinliche Anschlussfragen

  • Was ist der Unterschied im Geltungsbereich zwischen einem HKLM- und einem HKCU-Run-Schlüssel?
  • Warum sind WMI-Ereignisabonnements eine unauffälligere Persistenzmethode?
  • Welche Sysmon-Ereignis-IDs helfen, neue Dienste oder geplante Aufgaben zu erkennen?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.