Tự động chạy trốn hoặc: không chỉ dựa vào Tự động chạy để bảo mật

Hãy Thử Công Cụ CủA Chúng Tôi Để LoạI Bỏ Các VấN Đề

Autoruns là một chương trình phổ biến dành cho Windows để phân tích tất cả các tệp, chương trình và các mục khác chạy khi khởi động hệ thống.

Nó có lẽ là công cụ được sử dụng nhiều nhất cho mục đích đó và bao gồm rất nhiều tính năng thú vị như quét tệp trên Virustotal, ẩn các mục nhập của Microsoft hoặc quản lý tệp tự động chạy để vô hiệu hóa hoặc xóa các mục trực tiếp từ bên trong chương trình.

Tự động trốn tránh là một bài báo nghiên cứu của Kyle Hanslovan và Chris Bisnett từ Huntress tiết lộ nhiều phương pháp trốn tránh mà người dùng độc hại có thể sử dụng để ẩn các hoạt động trên máy tính hoặc trong mạng.

autoruns hide security

Các nhà nghiên cứu tiết lộ nhiều phương pháp mà những kẻ tấn công có thể sử dụng để che giấu hoạt động của chúng. Ví dụ: các lệnh lồng nhau có thể được sử dụng để thực thi nhiều chương trình bằng một mục khởi động duy nhất. Các lệnh này, ví dụ: &&, & hoặc || kết hợp một hoặc nhiều lệnh, thường bằng cách thêm một lệnh độc hại sau một lệnh hợp pháp.

Một trong những vấn đề phát sinh trong Autoruns là nhiều người dùng đã cấu hình chương trình để ẩn các mục nhập của Microsoft vì chúng được nhiều người coi là lưu. Vấn đề là việc ẩn các mục nhập của Microsoft có thể ẩn các cấu trúc lệnh này.

Các kỹ thuật khác mà các nhà nghiên cứu bảo mật mô tả là:

  • Hướng dẫn Shell32.dll
  • DLL Hijacking
  • SyncAppvPublishingService
  • Lỗi DLL dịch vụ
  • Lỗi đơn đặt hàng của tiện ích tìm kiếm
  • SIP Hijacking
  • .INF Scriptlets

Các nhà nghiên cứu đi đến kết luận rằng Autoruns là một công cụ tuyệt vời để liệt kê các chương trình và tệp khởi động, nhưng nó không phải là một công cụ bảo mật.

Họ đề xuất rằng quản trị viên và người dùng sử dụng nó để liệt kê dữ liệu và họ phân tích dữ liệu mà công cụ thu thập được bằng các phương tiện khác. Những kẻ tấn công sẽ sử dụng những kỹ thuật này và những kỹ thuật phức tạp hơn để tránh bị phát hiện trong Autoruns.

Đối với những điều có liên quan mà bạn có thể làm để khiến những kẻ tấn công khó che giấu điều gì đó hơn, thì những điều sau sẽ hữu ích:

  1. Không ẩn các mục nhập Microsoft và Windows trong Autoruns. Bạn tìm thấy tùy chọn trong Tùy chọn> Ẩn Mục nhập Microsoft và Tùy chọn> Ẩn mục nhập Windows. Điều này hiển thị nhiều dữ liệu hơn, nhưng điều quan trọng là phải xem nó từ quan điểm bảo mật.
  2. Bật tùy chọn 'xác minh chữ ký mã' và 'kiểm tra virustotal.com' trong Tùy chọn> Tùy chọn quét.
  3. Xem lại bất kỳ mục cmd.exe, pcalua hoặc SyncAppvPublishingService nào.
  4. Đi qua tất cả các mục và tìm các lệnh lồng nhau (có thể dễ dàng hơn khi sử dụng các tùy chọn dòng lệnh để liệt kê tất cả và sử dụng các thao tác tìm để xem qua danh sách).

Bây giờ bạn : làm thế nào để bạn liệt kê các mục tự động chạy và kiểm tra chúng? (thông qua Deskmodder , Technet )