Les tècniques de persistència són mètodes que el malware utilitza per assegurar-se que roman actiu en un sistema malgrat reinicis, actualitzacions de seguretat, o intents de neteja. Aquí teniu algunes tècniques de persistència específiques que podrien ser emprades per un malware com Trojan:BAT/LummaStealer.DA!MTB:

1. Modificació del Registre de Windows:

• Run Keys: Afegeix entrades a claus com HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run o HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run per assegurar que el malware s'executa cada vegada que un usuari inicia sessió.
• RunOnce: Similar a Run, però executa només una vegada, encara que pot ser utilitzat per instal·lar altres components de persistència.
• Autorun: Utilitzar claus com HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run per executar-se automàticament.

2. Tasques Programades:

• Task Scheduler: Crea tasques que s'executen segons un horari predeterminat o en esdeveniments específics com el reinici del sistema, usant schtasks.exe o mitjançant PowerShell.

3. Arxius d'Inici:

• Startup Folder: Col·locar executables o scripts en el directori d'inici (C:\Users\[Username]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup o la carpeta equivalent de l'usuari actual).
• Userinit: Modificar o afegir al fitxer userinit.exe per executar codi maliciós després de l'inici de sessió.

4. Servicis de Windows:

• Crear Servicis: Utilitzar sc.exe o PowerShell per crear un nou servei de Windows que s'iniciï automàticament amb el sistema.

5. DLL Hijacking:

• DLL Search Order Hijacking: Col·locar una DLL maliciosa en una ruta on un programa legítim busqui una DLL específica, així quan el programa es carregui, executarà el codi maliciós.

6. Autostart Extensió d'Explorador:

• Browser Extensions: Instal·lar extensions de navegador que es carreguen automàticament amb el navegador i que poden executar codi maliciós.

7. Modificació de Fitxers de Sistema:

• Hosts File: Modificar el fitxer hosts per redirigir el trànsit a servidors controlats per l'atacant.
• Autorun.inf: Utilitzar aquest fitxer en dispositius USB per propagar-se automàticament quan es connecta a un altre sistema.

8. Alteració de Punts de Restauració:

• VSS (Volume Shadow Copy Service): Manipular els punts de restauració del sistema per incloure el malware, fent que la restauració del sistema no elimini l'infecció.

9. Manipulació de Scripts de Login:

• Scripts de Login: Modificar scripts que s'executen quan un usuari inicia sessió, com scripts de shell en sistemes basats en Unix/Linux equivalents a Windows.

Cada una d'aquestes tècniques pot ser utilitzada individualment o en combinació per maximitza la persistència del malware en un sistema infectat. La clau per protegir-se contra aquestes tècniques és una combinació de bones pràctiques de seguretat, monitorització activa del sistema, i l'ús de programari de seguretat que pot detectar i respondre a activitats sospitoses en temps real.