Unngå autoruns, eller: ikke bare stole på Autoruns for sikkerhet

• Kategori: Windows

Prøv Instrumentet Vårt For Å Eliminere Problemer

Velg Operativsystemet Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Velg Et Projeksjonsprogram (Valgfritt) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Beskriv Problemet Ditt

Få Svar

Send Meg Via E -Post Vis På Nettstedet

Autoruns er et populært program for Windows for å analysere alle de forskjellige filene, programmene og andre elementer som kjører ved systemstart.

Det er sannsynligvis det mest brukte verktøyet for det formålet, og inkluderer masse fint å ha funksjoner som å skanne filer på Virustotal, skjule Microsoft-oppføringer eller administrere autorunfiler for å deaktivere eller slette elementer direkte fra programmet.

Unngå autoruns er en forskningsartikkel av Kyle Hanslovan og Chris Bisnett fra Huntress som avslører flere unndragelsesmetoder som ondsinnede brukere kan benytte seg av for å skjule aktiviteter på datamaskinen eller i et nettverk.

Forskerne avslører flere metoder som angripere kan bruke for å skjule aktiviteten sin. Nestede kommandoer kan for eksempel brukes til å utføre flere programmer ved å bruke et enkelt oppstartselement. Disse kommandoene, f.eks. &&, & eller || kombinere en eller flere kommandoer, vanligvis ved å legge til en ondsinnet kommando etter en legitim kommando.

Et av problemene som oppstår i Autoruns er at mange brukere har konfigurert programmet til å skjule Microsoft-oppføringer, da de anses som lagret av mange. Problemet er at å skjule Microsoft-oppføringer kan skjule disse kommandokonstruksjonene.

Andre teknikker som sikkerhetsforskerne beskriver er:

• Shell32.dll Indireksjon
• DLL kapring
• SyncAppvPublishingService
• Service-DLL-feil
• Bug for utvidelsessøk
• SIP kapring
• .INF-scriptlets

Forskerne kommer frem til at Autoruns er et flott verktøy for å telle opp oppstartsprogrammer og filer, men at det ikke er et sikkerhetsverktøy.

De foreslår at administratorer og brukere bruker dem til å oppgi data, og at de analyserer dataene verktøyet samlet på andre måter. Angripere vil bruke disse teknikkene og mer komplekse metoder for å unngå deteksjon i Autoruns.

Når det gjelder ting du kan gjøre for å gjøre det vanskeligere for angripere å skjule noe, er følgende nyttig:

1. Ikke legg skjul på Microsoft og Windows i Autoruns. Du finner alternativet under Valg> Skjul Microsoft-oppføringer og -alternativer> Skjul Windows-oppføringer. Dette viser mer data, men det er viktig å se dem fra et sikkerhetssynspunkt.
2. Aktiver alternativene 'bekreft kodesignaturer' og 'sjekk virustotal.com' i Valg> Skannealternativer.
3. Se på oppføringer fra cmd.exe, pcalua eller SyncAppvPublishingService.
4. Gå gjennom alle oppføringer og se etter nestede kommandoer (kan være enklere å bruke kommandolinjealternativene til å oppregne alle og bruke finnoperasjoner for å gå gjennom oppføringen).

Nå du : hvordan teller du autorun-artikler og vet dem? (via Deskmodder , Technet )