规避自动运行,或者:不要仅仅依靠自动运行来确保安全

尝试消除问题的工具

自动运行是Windows上流行的程序,用于分析系统启动时运行的所有不同文件,程序和其他项目。

它可能是用于此目的的最常用工具,并且具有很多功能,例如在Virustotal上扫描文件,隐藏Microsoft条目或管理自动运行文件以直接从程序中禁用或删除项目。

规避自动运行 是Huntress的Kyle Hanslovan和Chris Bisnett的研究论文,揭示了多种逃避方法,恶意用户可以利用这些逃避方法来隐藏计算机或网络中的活动。

autoruns hide security

研究人员揭示了攻击者可能用来隐藏其活动的多种方法。例如,嵌套命令可用于使用单个启动项执行多个程序。这些命令,例如&&,&或||组合一个或多个命令,通常是在合法命令之后添加恶意命令。

自动运行中出现的问题之一是,许多用户已将程序配置为隐藏Microsoft条目,因为许多人认为它们已保存。问题在于,隐藏Microsoft条目可能会隐藏这些命令结构。

安全研究人员描述的其他技术是:

  • Shell32.dll间接
  • DLL劫持
  • SyncAppvPublishingService
  • 服务DLL错误
  • 扩展搜索顺序错误
  • SIP劫持
  • .INF脚本

研究人员得出的结论是,自动运行是枚举启动程序和文件的好工具,但它不是安全工具。

他们建议管理员和用户使用它来枚举数据,并建议他们使用其他方式分析该工具收集的数据。攻击者将使用这些技术以及更复杂的技术来逃避自动运行中的检测。

就可能使攻击者更难以隐藏某些东西的事情而言,以下内容将有所帮助:

  1. 不要在自动运行中隐藏Microsoft和Windows条目。您可以在选项>隐藏Microsoft条目和选项>隐藏Windows条目下找到该选项。这会显示更多数据,但是从安全角度来看很重要。
  2. 在选项>扫描选项中启用“验证代码签名”和“检查virustotal.com”选项。
  3. 查看任何cmd.exe,pcalua或SyncAppvPublishingService条目。
  4. 遍历所有条目并查找嵌套命令(使用命令行选项枚举所有内容并使用查找操作遍历清单可能更容易)。

现在轮到你 :如何枚举自动运行的项目并进行审核? (通过 桌上型科技网