Рубрики

Демистифицируйте автозапуск и вредоносные программы

Системный администратор, как правило, отвечает за устойчивое управление и защиту конфиденциальных данных крупных организаций. В целом это его кардинальный подход к обеспечению того, чтобы серверная система работала безопасным, неустанным, надежным и стабильным образом, полностью сопротивляясь посторонней кибератаке. Поэтому эта статья специально посвящена системному администратору, чтобы упростить их повседневную деятельность по мониторингу с помощью нескольких свободно доступных системных утилит. В буквальном смысле эта статья раскрывает преимущества использования основных системных команд для извлечения и мониторинга конфиденциальной информации во время аудита прорывов и методов судебной экспертизы данных.

Таким образом, инструментарий Sys-internals, являющийся частью сообщества MS TechNet, предлагает широкий спектр бесплатных диагностических инструментов и утилит для оптимизации действий администратора системы в попытке выявления скрытых ненормальных процессов и поиска вредоносных программ.

Автозапуск —

Автозапуск означает службу, которая неизбежно работает без преднамеренного запуска конечным пользователем. Автозапуск начинает заполнять свой дисплей от имени информации, полученной от AEPS (объяснено в следующем разделе ниже), как показано на рисунке ниже; В каждой строке указывается имя записей, издатель, описание и путь к изображению (в котором показано расположение хранилища целевого файла, идентифицированного при автозапуске). Кроме того, в каждой строке есть флажок для включения (записи могут быть изменены только в случае наличия только административной привилегии) или отключения записи вместе со статусом сканирования VirusTotal. Autorun также идентифицировал сервисы InProcServer и выделил его желтой рамкой с сообщением «Файл не найден» в случае, если целевой файл не найден в указанном месте. Вкладка TimeStamp также помогает получить полезную информацию о классификации категории файлов, так как если TimeStamp отображает время в локальной зоне, то это файл, который идентифицируется как портативный исполнитель (PE). Наконец, если какой-либо файл изображения, который не имеет действительного издателя, проверки подписи и т. Д., Автоматически распознается как подозрительно помеченные как розовые записи при автозапуске.

Прежде чем углубляться в утилиту автозапуска Sysinternals, желательно выяснить термин ASEP ( точка расширения автозапуска), который представляет собой расположение в файловой системе и реестре, которые позволяют автоматически запускать в Windows как 64-разрядную, так и 32-разрядную версии. Фактически, Windows сама по себе реализована через ASEP в виде сервисов, драйверов и т. Д. Итак, утилита Sysinternals Autoruns собирала системную информацию, сканируя множество записей ASEP в течение нескольких секунд и упрощая обнаружение подозрительно запущенного процесса, дополнительно , он также может определить и включить / отключить автозапуск.

Автозапуск вредоносных программ —

Законный процесс уничтожения вредоносного ПО состоит в том, чтобы сначала идентифицировать вредоносный драйвер или процесс, а затем прекратить их. Теперь вопрос заключается в том, как идентифицировать подозрительный процесс, а затем перечисляются некоторые основные моменты, которые помогают указать на вредоносный процесс. Мы искали процесс, который не имеет пиктограммы, неподписанного сертификата, странного URL-адреса, описания компании и т. Д. Следовательно, в этом отношении автозапуск обычно вызывает основные системные службы с помощью служб автозапуска, а также драйверы во время работы компьютера. фаза загрузки. Но хакеры часто используют его по-другому, тайно запуская незапрошенную службу маскировки без разрешения и ведома пользователя. Кроме того, он регулярно вносит себя в базу данных автозагрузки.


Для получения дополнительной информации обратитесь к вкладке запуска, показанной на рисунке выше, который можно просмотреть на вкладке « msconfig.exe утилиты msconfig.exe в операционной системе Windows, чтобы отслеживать, какой процесс в настоящее время запускается преднамеренно или случайно. Хакеры, как правило, заражали множество компьютеров цели, развертывая свое вредоносное программное обеспечение, иногда называемое ботнетом, которое поставляется с программным обеспечением, поставляемым на жестком диске, бесплатно предлагаемом компьютерным журналом и мошеннической организацией. Когда пользователь вставляет компакт-диск в дисковод, служба автозапуска Windows автоматически запускает вредоносное программное обеспечение, используя функцию автозапуска операционной системы Windows, которая позволяет автоматически запускать программное обеспечение, находящееся на ручке или диске.
Более того, иногда организации заманивают невинных целей, предоставляя им бесплатный диск Pen для запуска их вредного программного обеспечения. Поэтому настоятельно рекомендуется по умолчанию отключить функцию автозапуска, чтобы предотвратить скрытые атаки, которые чаще всего совершаются с помощью пера и дисков.

Note : System administrators often use the Autorun to capture a baseline of ASEP on a computer that can be associated with comparing with the later captured results for troubleshooting purposes.

Автозапуск внутренний —
Хакеры могут легко внедрить вредоносное ПО в целевой компьютер или манипулировать существующими сервисами, подключившись к нему. В связи с этим системный администратор часто полагался на сертификат или статус издателя для определения характера любых запущенных служб в поиске вредоносного ПО. Но хакеры тоже могут преодолеть это препятствие, легко скрывая свои злые услуги под известным издателем, таким как «Microsoft Corporation» и т. Д.
Таким образом, цифровая подпись является единственным остатком спасателя, который полностью гарантирован целостностью и подлинностью файла, поскольку обеспечивает более высокую степень уверенности в отношении файла. Поэтому мы можем проверить подлинность записи с помощью параметра «Подтвердить изображение» в меню «Запись», выбрав конкретную запись, которая в итоге дает результаты, как показано на рисунке ниже; Если файл проверен из доверенного кода подписанного органа, полученного из CA, текст вкладки Publisher показывает результаты соответственно следующим образом:

Кроме того, записи также могут быть удалены, сняв флажок, однако удаленные записи не могут быть восстановлены позже из-за отсутствия опции отмены. Службы не будут автоматически запускаться во время загрузки после отключения записи автозапуска. Но он не удаляет ASEP соответствующего целевого файла. Однако настоятельно рекомендуется, чтобы удаление записи выполнялось с осторожностью, поскольку вы можете перевести компьютер в нестабильное состояние, в котором восстановление невозможно.

Компоненты автозапуска —
Существует длинный список компонентов автозапуска, включая Boot, Services, Explorer, WinLogon, Drivers и т. Д., Которые будут отображаться на различных вкладках при инициализации движения. Следовательно, этот раздел разрабатывает важные компоненты только из 19 вкладок из-за тривиальности оставшихся.
Прежде всего, вкладка «Вход в систему», которая отображает подробную информацию при запуске Windows и имени пользователя, а также отображает ASEP, используемый приложением. Он также включает в себя различные ключи Run и RunOnce, каталоги запуска и сценарии завершения работы.
Во-вторых, системные службы, которые обычно настраиваются в подразделе HKLM/System/CurrentControlSet/Services , Autoruns включают все включенные службы системы, независимо от того, связаны ли они с процессом и другими. Он описывает путь, издателей и другую важную информацию, отображаемую на изображении ниже.

Еще одна интересная особенность — это KnowDLL, которые улучшают производительность системы, ограничивая весь процесс использованием одной и той же версии DLL, поскольку она содержит только проверенные библиотеки Windows. Он также будет ассоциироваться с обнаружением вредоносных программ, когда хакер удалит любую подчеркивающую DLL и попытается развернуть свою собственную версию. Мы можем легко идентифицировать порочный файл, сравнивая результаты сохранения Autoruns с заведомо исправным экземпляром той же операционной системы.

Системные драйверы, загружаемые во время загрузки системы, как показано на рисунке ниже, обычно работают в режиме ядра, что позволяет им взаимодействовать с различным оборудованием, хранилищем и т. Д. Таким образом, автозапуск отображает только драйверы, помеченные как включенные в описании, путь и другие важные значения. Автозапускам также помогают отключать и удалять драйверы, которые вступили в силу после перезагрузки системы.

Иногда глючный исполняемый код, называемый кодеком медиаплеера, часто снижает производительность системы. Таким образом, Autoruns перечисляет весь исполняемый код, который может быть загружен приложением воспроизведения мультимедиа, и можно идентифицировать неправильно настроенный кодек, вызывающий производительность.
Затем на вкладке Boot Execute отображаются исполняемые файлы, которые запускаются и используются менеджером сеансов. Вкладки «Выполнение загрузки» включают проверку жесткого диска и ремонт, обычно выполняемый Windows.

Note #1: The Autoruns results (data) can be saved to disk in both formats: Binary format and tab-delimited text format in a read-only form.

Note #2: You can download the system internals utilities entire sets from its website in packed form, or you can spare yourself from the hassle of downloading and unzipping the tools by directly browses their file share through accessing \\live.sysinternals.com\ portal from the Windows Run box.

Весь пакет программного обеспечения Sysinternals можно бесплатно загрузить с его портала Live ( https://live.sysinternals.com/files/ ) следующим образом;

Очистка и устранение вредоносных программ

Автозапуск, встроенный с помощью встроенной утилиты VirusTotal API, которая сканирует загруженный файл с 50 видными антивирусами. Эту функцию можно активировать из опции «Проверить общее количество вирусов», когда она загружала хэши на сервер общего вируса, а автозапуск указывает число модулей, которые будут проверять файл.

Следовательно, автозапуски обычно отображали большое количество записей ASEP, поскольку сами окна в значительной степени полагались на ASEP. Эти записи не представляют интереса в любой форме, поэтому их можно скрыть, выбрав опцию Скрыть записи Windows, и она отображает затененные строки для каждого AEPS, который сканирует следующим образом;

Кроме того, он предлагает еще одну полезную опцию для обнаружения вредоносных программ через зарегистрированных пользователей, поскольку он автоматически добавляет элемент «Пользователь» в меню после запуска с правами администратора. Когда обычный пользователь непреднамеренно установил вредоносную программу, настройки системы не могут быть изменены для ее очистки. Таким образом, автозапуск с правами администратора позволяет выбрать потенциально скомпрометированную учетную запись, чтобы проверить ее ASEP и, возможно, очистить вредоносное ПО.

Наконец, что касается устранения неполадок, он предлагает специальную утилиту автономного анализа для устранения неправильной настройки ASEP. Для этого автозапуск должен быть запущен с полными правами и доступом к автономному экземпляру Windows. Это также поможет идентифицировать скрытую запись вредоносного ПО, которую автозапуск иногда не может обнаружить, поскольку некоторые вредоносные программы достаточно сильны, чтобы скрыть свои ASEP для сканирования. Таким образом, отключив систему от экземпляра Windows, вредоносные записи больше не будут скрываться.

Вывод —
Целью данной статьи является обнаружение вредоносного ПО в системе путем использования преимуществ утилиты Autoruns, поскольку вредоносное ПО как типичный тип остается неактивным в зараженной системе. Утилита Autoruns предлагает широкий спектр инструментов, связанных с драйверами, входом в систему, библиотекой DLL, сетью, службами, кодеками и т. Д., Чтобы найти неверную конфигурацию и определить текущее состояние системы. Тем не менее, он также помогает в очистке от вредоносных программ и в некоторой степени восстанавливает систему до последней удачной конфигурации. Наконец, мы пришли к пониманию роли записей ASEP, которые напрямую связаны с кустами реестра, отображаемыми в автозапусках.

Ссылка —
https://docs.microsoft.com/en-us/sysinternals/learn/
https://www.wilderssecurity.com/threads/using-sysinternals-tools-like-a-pro-tutorials.362005/

Рекомендуемые посты:

Демистифицируйте автозапуск и вредоносные программы

0.00 (0%) 0 votes