Evasão do Autoruns ou: não dependa exclusivamente do Autoruns para segurança

• Categoria: Janelas

Experimente Nosso Instrumento Para Eliminar Problemas

Selecione O Sistema Operacional Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Escolha Um Programa De Projeção (Opcionalmente) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Descreva Seu Problema

Obter Uma Resposta

Envie -Me Por E -Mail Mostrar No Site

Autoruns é um programa popular do Windows para analisar todos os diferentes arquivos, programas e outros itens executados na inicialização do sistema.

É provavelmente a ferramenta mais usada para esse propósito, e inclui muitos recursos interessantes, como digitalização de arquivos no Virustotal, ocultação de entradas da Microsoft ou gerenciamento de arquivos de execução automática para desativar ou excluir itens diretamente de dentro do programa.

Fugindo de Autoruns é um artigo de pesquisa de Kyle Hanslovan e Chris Bisnett, do Huntress, que revela vários métodos de evasão que usuários mal-intencionados podem usar para ocultar atividades no computador ou em uma rede.

Os pesquisadores revelam vários métodos que os invasores podem usar para ocultar sua atividade. Comandos aninhados, por exemplo, podem ser usados ​​para executar vários programas usando um único item de inicialização. Esses comandos, por exemplo &&, & ou || combine um ou vários comandos, geralmente adicionando um comando malicioso após um comando legítimo.

Um dos problemas que surge no Autoruns é que muitos usuários configuraram o programa para ocultar as entradas da Microsoft, já que são consideradas salvas por muitos. O problema é que ocultar as entradas da Microsoft pode ocultar essas construções de comando.

Outras técnicas que os pesquisadores de segurança descrevem são:

• Indirecção Shell32.dll
• DLL Hijacking
• SyncAppvPublishingService
• Bug de DLL de serviço
• Bug no pedido de pesquisa de extensão
• SIP Hijacking
• .INF Scriptlets

Os pesquisadores concluíram que o Autoruns é uma ótima ferramenta para enumerar programas e arquivos de inicialização, mas não é uma ferramenta de segurança.

Eles sugerem que os administradores e usuários o usem para enumerar dados e que analisem os dados que a ferramenta reuniu usando outros meios. Os invasores usarão essas técnicas e outras mais complexas para evitar a detecção no Autoruns.

No que diz respeito às coisas que você pode fazer para tornar mais difícil para os invasores ocultar algo, o seguinte é útil:

1. Não oculte entradas da Microsoft e do Windows no Autoruns. Você encontra a opção em Opções> Ocultar entradas e opções da Microsoft> Ocultar entradas do Windows. Isso exibe mais dados, mas é importante vê-los do ponto de vista da segurança.
2. Habilite as opções 'verificar assinaturas de código' e 'verificar virustotal.com' em Opções> Opções de verificação.
3. Revise todas as entradas cmd.exe, pcalua ou SyncAppvPublishingService.
4. Percorra todas as entradas e procure comandos aninhados (pode ser mais fácil usar as opções de linha de comando para enumerar todos e usar as operações de localização para percorrer a lista).

Agora você : como você enumera itens de execução automática e os examina? (através da Deskmodder , Technet )