Evadir Autoruns, o: no confíe únicamente en Autoruns por seguridad

Autoruns es un programa popular de Windows para analizar todos los diferentes archivos, programas y otros elementos que se ejecutan al iniciar el sistema.

Es probablemente la herramienta más utilizada para ese propósito e incluye muchas características agradables como escanear archivos en Virustotal, ocultar entradas de Microsoft o administrar archivos de ejecución automática para deshabilitar o eliminar elementos directamente desde el programa.



Evadir ejecuciones automáticas es un artículo de investigación de Kyle Hanslovan y Chris Bisnett de Huntress que revela múltiples métodos de evasión que los usuarios malintencionados podrían utilizar para ocultar actividades en la computadora o en una red.

autoruns hide security

Los investigadores revelan múltiples métodos que los atacantes pueden utilizar para ocultar su actividad. Los comandos anidados, por ejemplo, pueden usarse para ejecutar múltiples programas usando un solo elemento de inicio. Estos comandos, p. Ej. &&, & o || Combine uno o varios comandos, generalmente agregando un comando malicioso después de un comando legítimo.



Uno de los problemas que surge en Autoruns es que muchos usuarios han configurado el programa para ocultar las entradas de Microsoft, ya que muchos las consideran guardadas. El problema es que ocultar las entradas de Microsoft puede ocultar estas construcciones de comandos.

Otras técnicas que describen los investigadores de seguridad son:

  • Indirección de Shell32.dll
  • Secuestro de DLL
  • SyncAppvPublishingService
  • Error de DLL de servicio
  • Error de orden de búsqueda de extensiones
  • Secuestro de SIP
  • .INF Scriptlets

Los investigadores llegan a la conclusión de que Autoruns es una gran herramienta para enumerar programas y archivos de inicio, pero que no es una herramienta de seguridad.

Sugieren que los administradores y usuarios lo utilicen para enumerar datos y que analicen los datos que la herramienta recopiló utilizando otros medios. Los atacantes utilizarán estas técnicas y otras más complejas para evadir la detección en Autoruns.

En lo que respecta a las cosas que puede hacer para que a los atacantes les resulte más difícil ocultar algo, lo siguiente es útil:

  1. No oculte las entradas de Microsoft y Windows en Autoruns. La opción se encuentra en Opciones> Ocultar entradas y opciones de Microsoft> Ocultar entradas de Windows. Esto muestra más datos, pero es importante verlos desde el punto de vista de la seguridad.
  2. Habilite las opciones 'verificar firmas de código' y 'verificar virustotal.com' en Opciones> Opciones de escaneo.
  3. Revise las entradas de cmd.exe, pcalua o SyncAppvPublishingService.
  4. Revise todas las entradas y busque comandos anidados (puede ser más fácil usar las opciones de la línea de comandos para enumerar todos y usar las operaciones de búsqueda para recorrer la lista).

Ahora tu: ¿cómo se enumeran los elementos de ejecución automática y se examinan? (vía Deskmodder, Technet)