Autoruns er et populært program til Windows til at analysere alle de forskellige filer, programmer og andre elementer, der kører på opstart af systemet.
Det er nok det mest anvendte værktøj til dette formål, og indeholder masser af godt at have funktioner som scanning af filer på Virustotal, gemmer Microsoft poster, eller forvaltning af autorun-filer for at deaktivere eller slette elementer direkte fra programmet.
At unddrage sig Autoruns er et forsknings-papir ved at Kyle Hanslovan og Chris Bisnett fra Huntress, der afslører flere skatteunddragelse metoder, at ondsindede brugere kan gøre brug af for at skjule aktiviteter på computeren eller i et netværk.
Forskerne afsløre flere metoder, som angribere kan bruge til at skjule deres aktiviteter. Indlejrede kommandoer, som for eksempel kan bruges til at udføre flere programmer ved hjælp af en enkelt start punkt. Disse kommandoer, for eksempel &&, & og || kombinere en eller flere kommandoer, som regel ved at tilføje en ondsindet kommando efter en legitim kommando.
Et af de spørgsmål, der opstår i Autoruns er, at mange brugere har konfigureret programmet til at skjule Microsoft poster, som de anses for at spare mange. Problemet er, at skjule Microsoft poster kan skjule disse kommando-konstruktioner.
Andre teknikker, at den sikkerhed, forskere beskrive, er:
- Shell32.dll Indirection
- DLL Kapring
- SyncAppvPublishingService
- Service DLL Fejl
- Søgning Efter Udvidelser For Fejl
- SIP-Kapringen
- .INF Scriptlets
Forskerne kom til den konklusion, at Autoruns er et fantastisk værktøj til at opremse start programmer og filer, men det er ikke en sikkerhed værktøj.
De foreslår, at administratorer og brugere, der bruger det til at optælle data, og at de med at analysere data af indsamlet ved hjælp af andre midler. Angribere, der vil bruge disse teknikker og mere komplekse dem til at undgå opdagelse i Autoruns.
Læs også: Brug Windows PowerShell til at installere ekstraudstyr
Så vidt som det er bekymret for, at du kan gøre for at gøre det sværere for angribere at skjule noget, det følgende er en hjælp:
- Må ikke skjule Microsoft og Windows poster i Autoruns. Du finde denne valgmulighed under Indstillinger > Skjul Microsoft Poster, og vælg Valg > Skjul Windows poster. Dette viser mere data, men det er vigtigt at se det fra et sikkerhedsmæssigt synspunkt.
- Aktiver “bekræft kode underskrifter” og “check virustotal.com” valg på Valg > scanningsindstillinger.
- Enhver anmeldelse cmd.exe, pcalua, eller SyncAppvPublishingService poster.
- Gå gennem alle poster omgivelser til indlejrede kommandoer (kan være lettere at bruge kommandolinjen muligheder for at opregne alle og finder operationer for at gå gennem listen).
Nu kan Du: hvordan kan man opregne autorun-genstande, og behandler dem? (via Deskmodder, Technet -)