Autorunsidest kõrvalehoidumine või: ärge usaldage turvalisuse tagamiseks ainult autorunsid
- Kategooria: Windows
Autoruns on Windowsi jaoks populaarne programm, kus saab analüüsida kõiki süsteemi käivitamisel töötavaid erinevaid faile, programme ja muid üksusi.
See on tõenäoliselt selleks otstarbeks kõige enam kasutatud tööriist ja sisaldab palju toredaid funktsioone, näiteks Virustotalis failide skannimist, Microsofti kirjete peitmist või autorun-failide haldamist, et keelata või kustutada üksusi otse programmist.
Autorunsist kõrvalehoidumine on Kyle Hanslovani ja Chris Bisnetti (Huntress) uurimistöö, mis paljastab mitu maksudest kõrvalehoidumise meetodit, mida pahatahtlikud kasutajad saaksid kasutada arvuti või võrgu tegevuste peitmiseks.
Teadlased paljastasid mitmeid meetodeid, mida ründajad võivad oma tegevuse varjamiseks kasutada. Näiteks võib pesastatud käske kasutada mitme programmi käivitamiseks ühe käivitusüksuse abil. Need käsud, nt. &&, & või || ühendage üks või mitu käsku, lisades tavaliselt pärast õigustatud käsku pahatahtliku käsu.
Üks probleem, mis Autorunsis üles kerkib, on see, et paljud kasutajad on konfigureerinud programmi Microsofti kirjete peitmiseks, kuna paljud peavad neid salvestatuks. Probleem on selles, et Microsofti kirjete peitmine võib peita need käsukonstruktsioonid.
Muud tehnikad, mida julgeoleku uurijad kirjeldavad, on:
- Shell32.dll sissejuhatus
- DLL kaaperdamine
- SyncAppvPublishingService
- Teenuse DLL viga
- Laiendiotsingu tellimuse viga
- SIP kaaperdamine
- .INF Scriptlets
Teadlased jõudsid järeldusele, et Autoruns on suurepärane vahend käivitusprogrammide ja failide loetlemiseks, kuid see pole siiski turvavahend.
Nad soovitavad administraatoritel ja kasutajatel kasutada seda andmete loetlemiseks ning analüüsida kogutud tööriista andmeid muude vahendite abil. Ründajad kasutavad neid tehnilisi võtteid ja keerukamaid tehnikaid, et vältida autorunside tuvastamist.
Mis puutub asjadesse, mida võite teha, et ründajatel oleks raske midagi varjata, siis on abiks järgmine:
- Ära peida Microsofti ja Windowsi kirjeid Autorunsis. Selle valiku leiate valikutest Valikud> Peida Microsofti kirjed ja Valikud> Peida Windowsi kirjed. See kuvab rohkem andmeid, kuid on oluline näha seda turvalisuse seisukohast.
- Lubage suvandid Suvandid> Skannimissuvandid vali koodide allkirjade kontrollimine ja virustotal.com kontrollimine.
- Vaadake üle kõik cmd.exe, pcalua või SyncAppvPublishingService kirjed.
- Minge läbi kõik kirjed ja otsige pesastatud käske (võib-olla on lihtsam kasutada käsuridade valikuid kõigi loetlemiseks ja leidmistoimingute kasutamist kirje läbimiseks).
Nüüd sina : kuidas saate loendada autorun üksusi ja neid kontrollida? (kaudu Deskmodder , Technet )