Избягване на Autoruns или: не разчитайте само на Autoruns за сигурност

Autoruns е популярна програма за Windows за анализ на всички различни файлове, програми и други елементи, които се стартират при стартиране на системата.

Това е може би най-използваният инструмент за тази цел и включва много хубаво да разполагате с функции като сканиране на файлове във Virustotal, скриване на записи на Microsoft или управление на автозапускащи файлове за деактивиране или изтриване на елементи директно от програмата.

Избягващи Autoruns е изследователска книга на Кайл Ханслован и Крис Биснет от Huntress, която разкрива множество методи за избягване, от които злонамерените потребители могат да се възползват, за да скрият дейности на компютъра или в мрежа.

autoruns hide security

Изследователите разкриват множество методи, които нападателите могат да използват, за да скрият своята активност. Например вложени команди могат да се използват за изпълнение на няколко програми, като се използва един стартиращ елемент. Тези команди, напр. &&, & или || комбинирайте една или няколко команди, обикновено като добавите злонамерена команда след законна команда.

Един от проблемите, които възникват при Autoruns, е, че много потребители са конфигурирали програмата, за да скрият записи на Microsoft, тъй като се считат за запазени от мнозина. Проблемът е, че скриването на записи на Microsoft може да скрие тези командни конструкции.

Други техники, които описват изследователите по сигурността са:

  • Shell32.dll непряко
  • DLL отвличане
  • SyncAppvPublishingService
  • Service DLL Bug
  • Грешка в поръчката за търсене с разширение
  • SIP Отвличане
  • .INF скриптове

Изследователите стигат до извода, че Autoruns е чудесен инструмент за изброяване на стартиращи програми и файлове, но това не е инструмент за защита.

Те предлагат администраторите и потребителите да ги използват за изброяване на данни и да анализират данните, събрани от инструмента с други средства. Нападателите ще използват тези техники и по-сложни, за да избегнат откриването в Autoruns.

Що се отнася до нещата, които можете да направите, за да затрудните нападателите да скрият нещо, полезно е следното:

  1. Не крийте записи на Microsoft и Windows в Autoruns. Можете да намерите опцията в Опции> Скриване на записи и опции на Microsoft> Скриване на записи в Windows. Това показва повече данни, но е важно да ги видите от гледна точка на сигурността.
  2. Активирайте опциите за проверка на подписите на код и „проверете virustotal.com“ в Опции> Опции за сканиране.
  3. Прегледайте всички cmd.exe, pcalua или SyncAppvPublishingService записи.
  4. Преминете през всички записи и потърсете вложени команди (може да е по-лесно да използвате опциите на командния ред, за да изброите всички и да използвате операции за намиране, за да преминете през списъка).

Сега ти : как да изброите автозапуските и да ги проверите? (чрез Deskmodder , Technet )