Autunoiden välttäminen, tai: älä luota turvallisuuteen yksinomaan Autoruns-ohjelmiin
- Luokka: Windows
Autoruns on suosittu Windows-ohjelma, jonka avulla voidaan analysoida kaikkia järjestelmää käynnistettäessä käytettäviä tiedostoja, ohjelmia ja muita kohteita.
Se on luultavasti eniten käytetty työkalu tähän tarkoitukseen, ja sisältää paljon mukavia ominaisuuksia, kuten tiedostojen skannaaminen Virustotalissa, Microsoft-tiedostojen piilottaminen tai autorun tiedostojen hallinta, jotta kohteet voidaan poistaa tai poistaa suoraan ohjelmasta.
Vältä Autoruns on Kyle Hanslovanin ja Chris Bisnettin (Huntress) tutkimuspaperi, joka paljastaa useita veropetosmenetelmiä, joita pahanlaatuiset käyttäjät voisivat käyttää piilottaakseen toiminnot tietokoneella tai verkossa.
Tutkijat paljastavat useita menetelmiä, joita hyökkääjät voivat käyttää toimintansa piilottamiseen. Esimerkiksi sisäkkäisiä komentoja voidaan käyttää suorittamaan useita ohjelmia yhdellä käynnistyskohteella. Nämä komennot, esim. &&, & or || yhdistä yksi tai useita komentoja, yleensä lisäämällä haitalliset komennot laillisen komennon jälkeen.
Yksi Autorunsista ilmenevistä ongelmista on, että monet käyttäjät ovat määrittäneet ohjelman piilottamaan Microsoft-merkinnät, koska monet pitävät niitä tallennuksina. Ongelmana on, että Microsoft-merkintöjen piilottaminen voi piilottaa nämä komentorakenteet.
Muut tekniikat, joita turvallisuustutkijat kuvaavat, ovat:
- Shell32.dll-suunta
- DLL-kaappaus
- SyncAppvPublishingService
- Palvelun DLL-virhe
- Laajennushaun tilausvirhe
- SIP-kaappaus
- .FIN Scriptlets
Tutkijat päättelivät, että Autoruns on loistava työkalu käynnistysohjelmien ja tiedostojen luettelemiseen, mutta että se ei ole tietoturvatyökalu.
He ehdottavat, että järjestelmänvalvojat ja käyttäjät käyttävät sitä tietojen luettelemiseen ja että he analysoivat työkalun keräämät tiedot muilla keinoilla. Hyökkääjät käyttävät näitä tekniikoita ja monimutkaisempia tekniikoita kiertääkseen havainnut Autorunsissa.
Seuraavista on hyötyä asioista, joita voit tehdä tehdäksesi hyökkääjien vaikeammiksi piilottaa jotain:
- Älä piilota Microsoft- ja Windows-merkintöjä Autoruns-sovelluksessa. Löydät vaihtoehdon kohdasta Valinnat> Piilota Microsoft-merkinnät ja Asetukset> Piilota Windows-merkinnät. Tämä näyttää enemmän tietoja, mutta on tärkeää nähdä se turvallisuuden kannalta.
- Ota käyttöön 'tarkista koodin allekirjoitukset' ja 'tarkista virustotal.com' -asetukset valitsemalla Valinnat> Skannausasetukset.
- Tarkista kaikki cmd.exe-, pcalua- tai SyncAppvPublishingService -merkinnät.
- Käy läpi kaikki merkinnät ja etsi sisäkkäisiä komentoja (saattaa olla helpompaa käyttää komentorivivaihtoehtoja luetella kaikki ja käyttää hakuoperaatioita luettelon läpi).
Nyt sinä : Miten luet automaattisen erän ja tarkistat sen? (kautta Deskmodder , Technet )