Autoruns is een populair programma voor Windows om het analyseren van de verschillende bestanden, programma ‘ s en andere items die worden uitgevoerd op het systeem opstarten.
Het is waarschijnlijk de meest gebruikte tool voor dat doel, en bevat veel leuk om te hebben functies zoals het scannen van bestanden op Virustotal, het verbergen van Microsoft-items, of het beheer van autorun bestanden uitschakelen of verwijderen van items rechtstreeks vanuit het programma.
Het ontwijken van Autoruns is een research paper door Kyle Hanslovan en Chris Bisnett van Kostuum dat blijkt meerdere ontduiking methoden die kwaadwillende gebruikers kunnen gebruik maken van verbergen activiteiten op de computer of in een netwerk.
De onderzoekers onthullen meerdere methoden die aanvallers kunnen gebruiken om te verbergen van hun activiteit. Geneste opdrachten voor de aanleg kan worden gebruikt voor het uitvoeren van meerdere programma ‘ s met behulp van een enkel item voor opstarten. Deze commando ‘ s, bijvoorbeeld &&, & of || de combinatie van één of meerdere opdrachten, meestal door het toevoegen van een kwaadaardige opdracht na een legitieme opdracht.
Een van de problemen die ontstaan in Autoruns is dat veel gebruikers hebben geconfigureerd dat het programma hide Microsoft entries als ze worden beschouwd als verlossen door velen. Het probleem is dat het verbergen van Microsoft-items kunnen verberg deze opdracht constructies.
Andere technieken die de veiligheid onderzoekers beschrijven zijn:
- Shell32.dll Webapplicaties
- DLL Kaping
- SyncAppvPublishingService
- Service DLL Fout
- Uitbreiding Zoeken Om Bug
- SIP-Hijacking
- .INF Scriptlets
De onderzoekers komen tot de conclusie dat Autoruns is een geweldig hulpmiddel voor het inventariseren van het opstarten van programma ‘ s en bestanden, maar dat is niet een security tool.
Ze suggereren dat beheerders en gebruikers maken gebruik van het inventariseren van gegevens, en dat ze het analyseren van de gegevens van het gereedschap verzameld met behulp van andere middelen. Aanvallers gebruik maken van deze technieken en meer complexe detectie te vermijden in Autoruns.
Lees ook: Windows PowerShell Gebruiken voor de installatie van optionele functies
Zoveel dingen bang bent dat je kan doen om het moeilijker te maken voor aanvallers om iets te verbergen, is het volgende nuttig zijn:
- Don ‘ t hide Microsoft en Windows vermeldingen in Autoruns. Je vindt de optie onder Opties > Hide Microsoft Entries en Opties > Verbergen Windows-items. Dit geeft meer gegevens, maar het is belangrijk om het te zien vanuit een security oogpunt.
- Het inschakelen van de “controleer de code handtekeningen” en “check virustotal.com” opties in Opties > Scan Opties.
- Beoordelen cmd.exe, pcalua, of SyncAppvPublishingService vermeldingen.
- Ga door alle items en kijk voor geneste opdrachten (kunnen op een gemakkelijker gebruik van de opdracht regel opties voor het opsommen van en zoeken activiteiten gaan door middel van de lijst).
Nu U: hoe u inventariseren de autorun-items en het beroepsonderwijs? (via Deskmodder, Technet)