Autoruns es un programa popular para que Windows analice todos los diferentes archivos, programas y otros elementos que se ejecutan al iniciar el sistema.
Es probablemente la herramienta más usada para ese propósito, e incluye muchas características agradables como escanear archivos en Virustotal, ocultar entradas de Microsoft, o administrar archivos de ejecución automática para deshabilitar o eliminar elementos directamente desde el programa.
Evading Autoruns es un trabajo de investigación de Kyle Hanslovan y Chris Bisnett de Huntress que revela múltiples métodos de evasión que los usuarios maliciosos podrían utilizar para ocultar actividades en el ordenador o en una red.
Los investigadores revelan múltiples métodos que los atacantes pueden usar para ocultar su actividad. Los comandos anidados, por ejemplo, pueden utilizarse para ejecutar varios programas utilizando un único elemento de inicio. Estos comandos, por ejemplo &&, & o ||| combinan uno o varios comandos, normalmente añadiendo un comando malicioso después de un comando legítimo.
Uno de los problemas que surgen en Autoruns es que muchos usuarios han configurado el programa para ocultar las entradas de Microsoft, ya que muchos las consideran guardadas. El problema es que ocultar las entradas de Microsoft puede ocultar estas construcciones de comandos.
Otras técnicas que describen los investigadores de seguridad son:
- Indirección de Shell32.dll
- Secuestro de DLL
- Servicio SyncAppvPublishingService
- Servicio DLL Bug
- Error en la búsqueda de extensiones
- SIP Secuestro
- Scriptlets.INF
Los investigadores llegan a la conclusión de que Autoruns es una gran herramienta para enumerar programas y archivos de inicio, pero que no es una herramienta de seguridad.
Sugieren que los administradores y usuarios lo utilicen para enumerar los datos, y que analicen los datos que la herramienta recopiló por otros medios. Los atacantes usarán estas técnicas y otras más complejas para evadir la detección en Autoruns.
En lo que respecta a las cosas que usted puede hacer para hacer más difícil que los atacantes oculten algo, lo siguiente es útil:
- No oculte las entradas de Microsoft y Windows en Autoruns. Encontrará la opción en Opciones> Ocultar entradas de Microsoft y Opciones> Ocultar entradas de Windows. Esto muestra más datos, pero es importante verlos desde el punto de vista de la seguridad.
- Habilite las opciones “verificar firmas de código” y “comprobar virustotal.com” en Opciones> Opciones de escaneado.
- Revise cualquier entrada cmd.exe, pcalua o SyncAppvPublishingService.
- Revise todas las entradas y busque comandos anidados (puede ser más fácil usar las opciones de la línea de comandos para enumerarlos todos y usar operaciones de búsqueda para recorrer la lista).
Ahora Usted : ¿cómo enumera los elementos de autoejecución y los examina? (via Deskmodder, Technet)
Resumen Article NameEvading Autoruns, or: don’t rely solely on Autoruns for security DescriptionA look at the security research paper Evading Autoruns which describes methods to obfuscate autostart items in the popular Windows software.AuthorMartin BrinkmannPublisherGhacks Technology NewsLogo 
