Volver a la página principal
lunes 28 octubre 2024
20

Cómo Mantener Persistencia en Windows mediante el Registro (Registry Run Key)

El registro de Windows es una base de datos jerárquica que almacena configuraciones y opciones para el sistema operativo y las aplicaciones instaladas. Una de las claves de registro más utilizadas para mantener persistencia en un sistema Windows es la clave Run, que permite ejecutar programas automáticamente al iniciar sesión. Al configurar esta clave para que ejecute un archivo, puedes asegurarte de que este se ejecute cada vez que el usuario inicie sesión, garantizando persistencia sin depender de configuraciones externas.

¿Qué es la Clave Run en el Registro de Windows?

En el registro de Windows, la clave Run permite especificar programas que se ejecutarán automáticamente al iniciar sesión. Esta clave se encuentra en varias ubicaciones dentro del registro, permitiendo a los programas configurarse para iniciar en diferentes contextos de usuario o de sistema. Las ubicaciones más utilizadas son:

  • HKCU (HKEY_CURRENT_USER): Clave específica del usuario que ha iniciado sesión, utilizada para ejecutar programas en su contexto.
  • HKLM (HKEY_LOCAL_MACHINE): Clave de sistema que permite ejecutar programas para todos los usuarios.

Estas claves de Run y RunOnce están diseñadas para facilitar la ejecución automática de programas al inicio de sesión o del sistema, lo que las hace ideales para garantizar que un programa se ejecute de forma persistente en el sistema.

Cómo Configurar la Clave Run del Registro en PowerShell

Para agregar un archivo en la clave Run y lograr que se ejecute automáticamente al inicio de sesión, puedes utilizar el siguiente comando en PowerShell. Este comando creará una entrada en el registro que apuntará al archivo que deseas ejecutar.

Ejemplo de Comando en PowerShell 

New-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Run" -Name "MyApp" -Value "C:\ruta\a\tu_archivo.exe" -PropertyType "String"

Explicación del Comando

  • New-ItemProperty: Este cmdlet permite crear una nueva propiedad en una clave de registro, útil para configurar la ejecución automática de programas.
  • -Path: Especifica la ruta de la clave en el registro donde se creará la nueva entrada. En este caso, se configura en HKCU para que la ejecución automática esté limitada al usuario actual.
  • -Name "MyApp": Define el nombre de la propiedad que se añadirá. Este nombre puede ser cualquier identificador que prefieras.
  • -Value "C:\ruta\a\tu_archivo.exe": Define la ruta del archivo que deseas ejecutar automáticamente.
  • -PropertyType "String": Especifica el tipo de valor de la propiedad, que en este caso es una cadena de texto.

Este comando es sencillo y efectivo para crear una persistencia básica en el sistema.

Paso a Paso: Agregar un Archivo al Registro para Ejecución Automática

1. Abrir PowerShell como Administrador

  • Si deseas crear la entrada de registro para todos los usuarios, deberás ejecutar PowerShell como administrador. Para hacer esto, haz clic derecho en el icono de PowerShell y selecciona "Ejecutar como administrador".

2. Ejecutar el Comando para Configurar la Clave de Registro

  • Una vez que PowerShell esté abierto, copia y pega el comando proporcionado, ajustando la ruta C:\ruta\a\tu_archivo.exe al archivo que deseas ejecutar automáticamente.

3. Verificar que la Entrada de Registro se ha Creado

  • Puedes verificar que la entrada se ha creado correctamente abriendo el Editor del Registro (escribe regedit en la barra de búsqueda de Windows), y navegando hasta la ruta HKCU > Software > Microsoft > Windows > CurrentVersion > Run. Ahí deberías ver la entrada MyApp (o el nombre que hayas especificado) apuntando a tu archivo.

Variantes en la Configuración del Registro para Persistencia

Además de la clave Run en HKCU, existen otras claves que también pueden utilizarse dependiendo del tipo de persistencia que desees:

1. Clave Run en HKLM para Todos los Usuarios

  • Esta configuración es útil si deseas que el archivo se ejecute para todos los usuarios en el sistema. Usa la ruta HKLM:\Software\Microsoft\Windows\CurrentVersion\Run en lugar de HKCU. 
New-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Run" -Name "MyApp" -Value "C:\ruta\a\tu_archivo.exe" -PropertyType "String"

2. Clave RunOnce para Ejecución Única al Iniciar Sesión

  • Si deseas que el archivo se ejecute solo una vez en la próxima sesión de usuario, utiliza la clave RunOnce en lugar de Run. 
New-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\RunOnce" -Name "MySingleRunApp" -Value "C:\ruta\a\tu_archivo.exe" -PropertyType "String"

Con esta configuración, la entrada en RunOnce se eliminará automáticamente después de la ejecución, lo cual puede ser útil para procesos que solo requieren iniciarse una vez.

Consideraciones de Seguridad para el Uso de la Clave Run en el Registro

Configurar la ejecución automática de un archivo en el registro tiene algunos riesgos de seguridad que es importante tener en cuenta:

  • Detección por Software de Seguridad: Dado que la clave Run es un método comúnmente utilizado para asegurar persistencia, puede ser monitoreada por software de seguridad y antivirus. Si el archivo que estás intentando ejecutar es identificado como malicioso, el antivirus podría bloquear la ejecución o eliminar la entrada del registro.
  • Pruebas en Entornos Seguros: Antes de realizar configuraciones en un sistema en producción, es recomendable probar en un entorno controlado (como una máquina virtual) para asegurarse de que el archivo se ejecuta correctamente y que no se generan alertas innecesarias.
  • Respetar el Contexto de Usuario: Al usar HKCU, aseguras que el archivo se ejecute solo para el usuario actual, lo cual puede ser útil en sistemas compartidos o multiusuario. Si la configuración se realiza en HKLM, cualquier usuario del sistema ejecutará el archivo automáticamente, lo cual podría generar problemas de seguridad o alertas en algunos entornos corporativos.

Ventajas y Limitaciones del Uso del Registro para Persistencia

Ventajas

  • Ejecución Automática: La clave Run permite que los programas se inicien automáticamente al iniciar sesión sin depender de servicios externos o scripts adicionales.
  • Flexibilidad de Usuarios: Puedes configurar persistencia para el usuario actual o para todos los usuarios del sistema, dependiendo de tus necesidades.
  • Control Completo: A diferencia de otros métodos, el registro permite un control más directo sobre la ejecución automática de programas en el sistema.

Limitaciones

  • Facilidad de Detección: Las entradas de registro en las claves Run y RunOnce son fáciles de detectar para usuarios experimentados o administradores, lo que puede ser una desventaja si se busca discreción.
  • Posible Bloqueo por Antivirus: Los antivirus y otros programas de seguridad tienden a monitorear las claves de registro comúnmente usadas para persistencia, por lo que este método puede no ser efectivo en entornos con políticas de seguridad estrictas.

Conclusión

El uso de la clave Run en el registro de Windows es una técnica sencilla y efectiva para asegurar que un archivo o programa se ejecute automáticamente al inicio de sesión. Al comprender cómo configurar esta clave en PowerShell y las consideraciones de seguridad asociadas, puedes automatizar tareas en el sistema sin depender de herramientas externas.

Recuerda siempre probar estas configuraciones en un entorno seguro antes de implementarlas en un sistema de producción y, sobre todo, asegurarte de que su uso respete el contexto ético y legal. Esta técnica puede ser una herramienta poderosa para automatizar procesos en sistemas Windows y asegurar que los servicios críticos estén disponibles siempre que el usuario inicie sesión.

Etiquetas:
powershell windows hacking
Compartir:
Creado por:
Author photo

Jorge García

Fullstack developer