Undgå autoruns, eller: ikke kun stole på Autoruns for sikkerhed

Autoruns er et populært program for Windows til at analysere alle de forskellige filer, programmer og andre elementer, der kører ved systemstart.

Det er sandsynligvis det mest anvendte værktøj til dette formål og inkluderer masser af dejligt at have funktioner såsom scanning af filer på Virustotal, skjul af Microsoft-poster eller styring af autorun-filer for at deaktivere eller slette elementer direkte inde i programmet.

Undgå autoruns er et forskningsdokument fra Kyle Hanslovan og Chris Bisnett fra Huntress, der afslører flere undvikelsesmetoder, som ondsindede brugere kunne bruge til at skjule aktiviteter på computeren eller i et netværk.

autoruns hide security

Forskerne afslører flere metoder, som angribere kan bruge til at skjule deres aktivitet. Indlejrede kommandoer kan for eksempel bruges til at udføre flere programmer ved hjælp af et enkelt startelement. Disse kommandoer, f.eks. &&, & eller || kombinere en eller flere kommandoer, normalt ved at tilføje en ondsindet kommando efter en legitim kommando.

Et af de problemer, der opstår i Autoruns, er, at mange brugere har konfigureret programmet til at skjule Microsoft-poster, da de betragtes som gemme af mange. Problemet er, at skjul af Microsoft-poster muligvis skjuler disse kommandokonstruktioner.

Andre teknikker, som sikkerhedsforskerne beskriver, er:

  • Shell32.dll Indirektion
  • DLL kapring
  • SyncAppvPublishingService
  • Service-DLL-fejl
  • Bug til udvidelsessøgning
  • SIP-kapring
  • .INF-scriptlets

Forskerne konkluderer, at Autoruns er et godt værktøj til at opregne opstartprogrammer og filer, men at det ikke er et sikkerhedsværktøj.

De foreslår, at administratorer og brugere bruger dem til at opregne data, og at de analyserer dataene, som værktøjet er samlet på andre måder. Angribere vil bruge disse teknikker og mere komplekse teknikker til at undgå detektering i Autoruns.

Hvad angår tingene, som du måske gør for at gøre det vanskeligere for angribere at skjule noget, er følgende nyttigt:

  1. Skjul ikke Microsoft- og Windows-poster i Autoruns. Du finder muligheden under Valg> Skjul Microsoft-poster og -indstillinger> Skjul Windows-poster. Dette viser flere data, men det er vigtigt at se dem fra et sikkerhedsmæssigt synspunkt.
  2. Aktivér indstillingerne 'verificer kodesignaturer' og 'tjek virustotal.com' i Valg> Scanningsindstillinger.
  3. Gennemgå alle cmd.exe-, pcalua- eller SyncAppvPublishingService-poster.
  4. Gå igennem alle poster og kig efter indlejrede kommandoer (kan være lettere at bruge kommandolinjemulighederne til at opregne alle og bruge find-operationer til at gå igennem listen).

Din tur : hvordan optæller du autorun-genstande og dyrker dem? (via Deskmodder , Technet )