自動実行を回避する、またはセキュリティのために自動実行のみに依存しない
Autorunsは、システムの起動時に実行されるさまざまなファイル、プログラム、およびその他の項目をすべて分析するためのWindowsで人気のプログラムです。
それはおそらくその目的で最も使用されるツールであり、Virustotalのファイルのスキャン、Microsoftエントリの非表示、プログラム内から直接アイテムを無効化または削除する自動実行ファイルの管理など、多くの便利な機能が含まれています。
自動実行の回避 HuntressのKyle HanslovanとChris Bisnettによる研究論文で、悪意のあるユーザーがコンピュータ上またはネットワーク内のアクティビティを隠すために利用できる複数の回避方法を明らかにしています。
研究者たちは、攻撃者が活動を隠すために使用できる複数の方法を明らかにしました。たとえば、ネストされたコマンドは、単一のスタートアップ項目を使用して複数のプログラムを実行するために使用できます。これらのコマンド。 &&、&または|| 1つまたは複数のコマンドを組み合わせるには、通常、正当なコマンドの後に悪意のあるコマンドを追加します。
Autorunsで発生する問題の1つは、多くのユーザーがMicrosoftのエントリを保存すると見なされているため、Microsoftのエントリを非表示にするようにプログラムを設定していることです。問題は、Microsoftのエントリを非表示にすると、これらのコマンド構造が非表示になる可能性があることです。
セキュリティ研究者が説明する他の手法は次のとおりです。
- Shell32.dllインダイレクション
- DLLハイジャック
- SyncAppvPublishingService
- サービスDLLバグ
- 拡張機能の検索順序のバグ
- SIPハイジャック
- .INFスクリプトレット
研究者たちは、自動実行はスタートアッププログラムとファイルを列挙するための優れたツールであるが、セキュリティツールではないという結論に達しました。
彼らは、管理者とユーザーがデータを列挙するためにそれを使用し、ツールが他の手段を使用して収集したデータを分析することを提案しています。攻撃者はこれらの手法とより複雑な手法を使用して、自動実行での検出を回避します。
攻撃者が何かを隠すのをより困難にするためにあなたが行うかもしれないことに関しては、以下が役に立ちます:
- 自動実行でMicrosoftとWindowsのエントリを非表示にしないでください。このオプションは、[オプション]> [Microsoftエントリを非表示]および[オプション]> [Windowsエントリを非表示]にあります。これはより多くのデータを表示しますが、セキュリティの観点からそれを見ることが重要です。
- [オプション]> [スキャンオプション]で、[コード署名の確認]オプションと[virustotal.comの確認]オプションを有効にします。
- cmd.exe、pcalua、またはSyncAppvPublishingServiceエントリを確認します。
- すべてのエントリを調べ、ネストされたコマンドを探します(コマンドラインオプションを使用してすべてを列挙し、検索操作を使用してリストを確認する方が簡単な場合があります)。