活动设置

对手可能通过向本地计算机的活动设置添加注册表项来实现持久性。活动设置是一个Windows机制，用于在用户登录时执行程序。存储在注册表项中的值将在用户登录计算机后执行。(引用: Klein Active Setup 2010) 这些程序将在用户的上下文中执行，并具有账户的相关权限级别。 对手可能通过在 HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\下创建一个键并为StubPath设置恶意值来滥用活动设置。此值将作为用户登录计算机时执行的程序。(引用: Mandiant Glyer APT 2010)(引用: Citizenlab Packrat 2015)(引用: FireEye CFR Watering Hole 2012)(引用: SECURELIST Bright Star 2015)(引用: paloalto Tropic Trooper 2016) 对手可以滥用这些组件来执行恶意软件，例如远程访问工具，以通过系统重启保持持久性。对手还可能使用伪装使注册表项看起来像是与合法程序相关联。