Избегавање Ауторунса или: за сигурност се не ослањајте само на Ауторунс
- Категорија: Виндовс
Ауторунс је популаран програм за Виндовс који анализира све различите датотеке, програме и друге ставке које се покрећу при покретању система.
То је вероватно најкоришћенији алат у ту сврху и укључује много лепих функција које имају функције скенирања датотека на Вирустоталу, скривање Мицрософтових уноса или управљање ауторизацијским датотекама ради онемогућавања или брисања предмета директно из програма.
Избегавање Ауторунса је истраживачки рад Киле Ханслован и Цхрис Биснетт из компаније Хунтресс који открива више метода утаје за које би злобни корисници могли користити да сакрију активности на рачунару или у мрежи.
Истраживачи откривају више метода које нападачи могу користити да сакрију своју активност. На пример, угнезђене команде могу се користити за извршавање више програма користећи једну јединицу за покретање. Ове команде, нпр. &&, & или || комбинујте једну или више команди, обично додавањем злонамерне наредбе након легитимне наредбе.
Једно од проблема које се јавља код Ауторунса је то што су многи корисници конфигурисали програм тако да сакрију Мицрософтове уносе јер их многи сматрају уштедама. Проблем је што скривање Мицрософтових уноса може сакрити ове командне конструкције.
Остале технике које истраживачи безбедности описују су:
- Схелл32.длл Индирецтион
- ДЛЛ отмица
- СинцАппвПублисхингСервице
- Сервице ДЛЛ Буг
- Грешка за налог за претрагу проширења
- СИП отмица
- .ИНФ Сцриптлетс
Истраживачи долазе до закључка да је Ауторунс одличан алат за набрајање покретачких програма и датотека, али да није безбедносно средство.
Предлажу да их администратори и корисници користе за набрајање података и да анализирају податке помоћу алата прикупљеног другим средствима. Нападачи ће користити ове технике и сложеније како би избегли откривање у Ауторунсима.
Што се тиче ствари које бисте могли да учините да нападачима буде теже да нешто сакрију, од помоћи је следеће:
- Не скривајте ставке Мицрософт и Виндовс у Ауторунс. Опцију можете пронаћи под Опцијама> Сакриј Мицрософтове уносе и опције> Сакриј ставке за Виндовс. Ово приказује више података, али је важно да их видите са становишта сигурности.
- Омогућите опције „потврди потписе кода“ и „провери вирустотал.цом“ у Опцијама> Опције скенирања.
- Прегледајте било које ставке цмд.еке, пцалуа или СинцАппвПублисхингСервице.
- Прођите кроз све уносе и потражите угнијежђене наредбе (можда ће бити лакше користити опције наредбеног ретка за набрајање свих и помоћу операција проналажења за улазак у листу).
Сад сте : како набројати ставке ауторуса и прегледати их? (виа Дескмоддер , Тецхнет )