Si queremos iniciar una determinada aplicación en background antes de la carga de cualquier perfil de usuario, de modo que ya esté disponible cuando encendamos el equipo y nos aparezca la pantalla de bienvenida de Windows sin necesidad de iniciar sesión en la máquina local.
Vector clásico de persistencia
Modificar
HKLM\...\Winlogon\Userinites una técnica documentada de persistencia (MITRE ATT&CK T1547.004). Cualquier alteración será marcada por EDR/AV maduros y queda en logs forenses. Si lo usas como administrador legítimo, documenta el binario añadido y notifica al equipo de seguridad para evitar incidentes.
Simplemente tendremos que indicar la ruta del fichero binario .exe que lanza la aplicación en el siguiente path del registro.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Una vez estemos en la clave Winlogon, a continuación buscamos el valor de cadena “Userinit” el cual tendremos que añadir el valor de ruta del fichero a ejecutar, por ejemplo: C:\Program Files (x86)\CARPETA_APLICACIÓN\FICHERO.EXE.
Si queremos agregar más aplicaciones tendremos que separar las rutas por comas (,).
Figura 1: Winlogon, añadiendo aplicación en userinit.
El valor de cadena Userinit nos permite añadir aplicaciones u otros ficheros antes de la carga de perfiles de usuario de Windows.
Info. oficial de Microsoft: https://technet.microsoft.com/en-us/library/cc939862.aspx
Saludos!