Evadir Autoruns, o: no confieu només en Autoruns per a la seguretat

Autoruns és un programa popular per a Windows per analitzar tots els diferents fitxers, programes i altres elements que s'executen en l'inici del sistema.

Probablement és l'eina més utilitzada per a aquest propòsit, i inclou un munt de funcions com ara explorar fitxers a Virustotal, ocultar entrades de Microsoft o administrar fitxers d'autor per desactivar o eliminar articles directament del programa.

Evitar autoruns és un treball de recerca de Kyle Hanslovan i Chris Bisnett, de Huntress, que revela múltiples mètodes d’evasió que podrien fer servir els usuaris malintencionats per ocultar activitats a l’ordinador o a la xarxa.

autoruns hide security

Els investigadors revelen múltiples mètodes que els atacants poden utilitzar per ocultar la seva activitat. Per exemple, es poden utilitzar ordres enclavades per a executar diversos programes mitjançant un element inicial. Aquestes ordres, per exemple, &&, & o || combinar una o diverses ordres, normalment afegint una ordre maliciosa després d'una ordre legítima.

Un dels problemes que sorgeixen a Autoruns és que molts usuaris han configurat el programa per ocultar les entrades de Microsoft ja que molts es consideren desats per molts. El problema és que amagar entrades de Microsoft pot ocultar aquestes construccions d’ordres.

Altres tècniques que descriuen els investigadors de seguretat són:

  • Shell32.dll Indirecció
  • Segrest de DLL
  • SyncAppvPublishingService
  • Error de DLL del servei
  • Error de comanda d'extensió de cerca
  • Segrest SIP
  • Scriptlets .INF

Els investigadors arriben a la conclusió que Autoruns és una gran eina per enumerar programes i fitxers d’inici d’inici, però que no és una eina de seguretat.

Suggereixen que els administradors i els usuaris les utilitzin per enumerar dades i que analitzin les dades de l'eina recollida mitjançant altres mitjans. Els atacants utilitzaran aquestes tècniques i altres més complexes per evadir la detecció en Autoruns.

Pel que fa a les coses que podeu fer per fer més difícil que els atacants ocultin alguna cosa, és útil:

  1. No amagueu les entrades de Microsoft i Windows a Autoruns. Podeu trobar l’opció a Opcions> Amagar entrades i opcions de Microsoft> Amagar entrades de Windows. Això mostra més dades, però és important veure-ho des del punt de vista de la seguretat.
  2. Habiliteu les opcions 'verificar signatures de codi' i 'comprovar virustotal.com' a Opcions> Opcions d'escaneig.
  3. Reviseu les entrades de cmd.exe, pcalua o SyncAppvPublishingService.
  4. Aneu a través de totes les entrades i busqueu ordres enclavades (pot ser més fàcil utilitzar les opcions de la línia de comandes per enumerar-les totes i fer servir les operacions de cerca per passar a la llista)

Ara tu : com enumereu els articles d’autor i els vetlleu? (via Deskmodder , Technet )