Éviter les Autoruns, ou: ne vous fiez pas uniquement aux Autoruns pour la sécurité

• Catégorie: Les Fenêtres

Essayez Notre Instrument Pour Éliminer Les Problèmes

Sélectionnez Le Système D'Exploitation Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Choisissez Un Programme De Projection (Éventuellement) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Décrivez Votre Problème

Obtenez Une Réponse

Envoyez-Moi Par E-Mail Montrer Sur Le Site

Autoruns est un programme populaire pour Windows pour analyser tous les différents fichiers, programmes et autres éléments qui s'exécutent au démarrage du système.

C'est probablement l'outil le plus utilisé à cette fin et comprend de nombreuses fonctionnalités intéressantes telles que l'analyse de fichiers sur Virustotal, le masquage des entrées Microsoft ou la gestion des fichiers d'exécution automatique pour désactiver ou supprimer des éléments directement à partir du programme.

Éviter les Autoruns est un document de recherche de Kyle Hanslovan et Chris Bisnett de Huntress qui révèle de multiples méthodes d'évasion que les utilisateurs malveillants pourraient utiliser pour cacher des activités sur l'ordinateur ou sur un réseau.

Les chercheurs révèlent plusieurs méthodes que les attaquants peuvent utiliser pour masquer leur activité. Les commandes imbriquées, par exemple, peuvent être utilisées pour exécuter plusieurs programmes en utilisant un seul élément de démarrage. Ces commandes, par exemple &&, & ou || combiner une ou plusieurs commandes, généralement en ajoutant une commande malveillante après une commande légitime.

L'un des problèmes qui se pose dans Autoruns est que de nombreux utilisateurs ont configuré le programme pour masquer les entrées Microsoft car elles sont considérées comme sauvegardées par beaucoup. Le problème est que le masquage des entrées Microsoft peut masquer ces constructions de commande.

Les autres techniques décrites par les chercheurs en sécurité sont:

• Indirection Shell32.dll
• Détournement de DLL
• SyncAppvPublishingService
• Bogue de la DLL de service
• Bogue de l'ordre de recherche d'extension
• Détournement SIP
• Scriptlets .INF

Les chercheurs arrivent à la conclusion qu'Autoruns est un excellent outil pour énumérer les programmes et fichiers de démarrage, mais qu'il ne s'agit pas d'un outil de sécurité.

Ils suggèrent que les administrateurs et les utilisateurs l'utilisent pour dénombrer les données et qu'ils analysent les données recueillies par l'outil par d'autres moyens. Les attaquants utiliseront ces techniques et des techniques plus complexes pour échapper à la détection dans Autoruns.

En ce qui concerne les choses que vous pouvez faire pour rendre plus difficile pour les attaquants de cacher quelque chose, ce qui suit est utile:

1. Ne masquez pas les entrées Microsoft et Windows dans Autoruns. Vous trouvez l'option sous Options> Masquer les entrées Microsoft et Options> Masquer les entrées Windows. Cela affiche plus de données, mais il est important de les voir du point de vue de la sécurité.
2. Activez les options «Vérifier les signatures de code» et «Vérifier virustotal.com» dans Options> Options de scan.
3. Vérifiez toutes les entrées cmd.exe, pcalua ou SyncAppvPublishingService.
4. Parcourez toutes les entrées et recherchez les commandes imbriquées (il peut être plus facile d'utiliser les options de ligne de commande pour tout énumérer et d'utiliser les opérations de recherche pour parcourir la liste).

Maintenant, c'est à votre tour : comment énumérer les éléments autorun et les contrôler? (via Deskmodder , Technet )