规避自动运行,或者:不要仅仅依靠自动运行来确保安全
- 类别: 视窗
自动运行是Windows上流行的程序,用于分析系统启动时运行的所有不同文件,程序和其他项目。
它可能是用于此目的的最常用工具,并且具有很多功能,例如在Virustotal上扫描文件,隐藏Microsoft条目或管理自动运行文件以直接从程序中禁用或删除项目。
规避自动运行 是Huntress的Kyle Hanslovan和Chris Bisnett的研究论文,揭示了多种逃避方法,恶意用户可以利用这些逃避方法来隐藏计算机或网络中的活动。
研究人员揭示了攻击者可能用来隐藏其活动的多种方法。例如,嵌套命令可用于使用单个启动项执行多个程序。这些命令,例如&&,&或||组合一个或多个命令,通常是在合法命令之后添加恶意命令。
自动运行中出现的问题之一是,许多用户已将程序配置为隐藏Microsoft条目,因为许多人认为它们已保存。问题在于,隐藏Microsoft条目可能会隐藏这些命令结构。
安全研究人员描述的其他技术是:
- Shell32.dll间接
- DLL劫持
- SyncAppvPublishingService
- 服务DLL错误
- 扩展搜索顺序错误
- SIP劫持
- .INF脚本
研究人员得出的结论是,自动运行是枚举启动程序和文件的好工具,但它不是安全工具。
他们建议管理员和用户使用它来枚举数据,并建议他们使用其他方式分析该工具收集的数据。攻击者将使用这些技术以及更复杂的技术来逃避自动运行中的检测。
就可能使攻击者更难以隐藏某些东西的事情而言,以下内容将有所帮助:
- 不要在自动运行中隐藏Microsoft和Windows条目。您可以在选项>隐藏Microsoft条目和选项>隐藏Windows条目下找到该选项。这会显示更多数据,但是从安全角度来看很重要。
- 在选项>扫描选项中启用“验证代码签名”和“检查virustotal.com”选项。
- 查看任何cmd.exe,pcalua或SyncAppvPublishingService条目。
- 遍历所有条目并查找嵌套命令(使用命令行选项枚举所有内容并使用查找操作遍历清单可能更容易)。