Autoruns ist ein beliebtes Programm für Windows zu analysieren, all die verschiedenen Dateien, Programme und andere Elemente, die auf system startup.
Es ist wahrscheinlich die am häufigsten verwendete tool für diesen Zweck, und auch viele schöne Funktionen wie das Scannen von Dateien auf Virustotal, verstecken Microsoft-Einträge, oder die Verwaltung von Autostart-Dateien zu deaktivieren oder löschen von Elementen direkt aus dem Programm.
Umgehung Autoruns ist ein research-Papier von Kyle Hanslovan und Chris Bisnett von Huntress, zeigt mehrere evasion-Methoden, die böswillige Benutzer verwenden können, um zu verbergen Aktivitäten auf dem computer oder in einem Netzwerk.
Die Forscher zeigen mehrere Methoden, die Angreifer verwenden, um zu verbergen Ihre Tätigkeit. Geschachtelte Befehle können beispielsweise verwendet werden, um führen Sie mehrere Programme mit einem einzigen Start-Element. Diese Befehle, z.B. &&, & oder || kombinieren Sie einen oder mehrere Befehle, in der Regel durch das hinzufügen einer bösartigen Befehl nach einer berechtigten Befehl.
Eine der Fragen, ergibt sich in Autoruns ist, dass viele Benutzer so konfiguriert haben, dass das Programm hide Microsoft entries, da Sie als ein speichern von vielen. Das problem ist, dass das verstecken Microsoft-Einträge ausblenden dieser Befehl konstruiert.
Andere Techniken, die Sicherheits-Forscher beschreiben, sind:
- Shell32.dll Dereferenzierung
- DLL-Hijacking
- SyncAppvPublishingService
- Service DLL Fehler
- Erweiterung Der Suche Um Fehler
- SIP-Hijacking
- .INF-Scriptlets
Die Forscher kommen zu dem Schluss, dass Autoruns ist ein großes Werkzeug für das auflisten der Autostart-Programme und Dateien, aber das ist es nicht, ein Sicherheits-tool.
Sie schlagen vor, die Administratoren und Benutzer verwenden Sie zum auflisten von Daten, und analysieren Sie die Daten, die das tool gesammelt, mit anderen Mitteln. Die Angreifer werden diese Techniken verwenden und komplexere Entdeckung zu entgehen, in Autoruns.
Lesen Sie auch: Verwenden von Windows PowerShell zum installieren der optionalen Funktionen
Soweit es Dinge betrifft, die Sie tun können, um es schwieriger für die Angreifer, etwas zu verstecken, ist Folgendes hilfreich:
- Don ‘ T hide Microsoft und Windows entries in Autoruns. Sie finden die option unter Einstellungen – > Hide Microsoft Entries und Optionen > Hide Windows entries. Dieser zeigt mehr Daten, aber es ist wichtig zu sehen, es aus der Sicht der Sicherheit.
- Aktivieren Sie die “verify code signatures” und “überprüfen virustotal.com” Optionen in Optionen > Scan-Optionen.
- Überprüfen Sie alle cmd.exe, pcalua, oder SyncAppvPublishingService Einträge.
- Gehen Sie durch alle Einträge und suchen für verschachtelte Befehle (möglicherweise einfacher zu verwenden Sie die Kommandozeilen-Optionen, um alle aufzuzählen, und verwenden Sie find-Operationen Durchlaufen der Liste).
Jetzt Sie: wie wollen Sie aufzählen autorun-Elemente und Tierarzt? (via Deskmodder, Technet)