การหลบเลี่ยงการทำงานอัตโนมัติหรือ: อย่าพึ่งพาการทำงานอัตโนมัติเพียงอย่างเดียวเพื่อความปลอดภัย

• หมวดหมู่: ของ Windows

ลองใช้เครื่องมือของเราเพื่อกำจัดปัญหา

เลือกระบบปฏิบัติการ Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro เลือกโปรแกรมการฉาย (ทางเลือก) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

อธิบายปัญหาของคุณ

รับคำตอบ

ส่งอีเมลถึงฉัน แสดงบนเว็บไซต์

Autoruns เป็นโปรแกรมยอดนิยมสำหรับ Windows ในการวิเคราะห์ไฟล์โปรแกรมและรายการอื่น ๆ ทั้งหมดที่ทำงานเมื่อเริ่มต้นระบบ

อาจเป็นเครื่องมือที่ใช้มากที่สุดสำหรับวัตถุประสงค์นั้นและมีคุณสมบัติที่ดีมากมายเช่นการสแกนไฟล์บน Virustotal การซ่อนรายการ Microsoft หรือการจัดการไฟล์การทำงานอัตโนมัติเพื่อปิดใช้งานหรือลบรายการโดยตรงจากภายในโปรแกรม

การหลบเลี่ยงการทำงานอัตโนมัติ เป็นงานวิจัยของ Kyle Hanslovan และ Chris Bisnett จาก Huntress ที่เผยให้เห็นวิธีการหลบเลี่ยงหลายวิธีที่ผู้ใช้ที่ประสงค์ร้ายสามารถใช้เพื่อซ่อนกิจกรรมบนคอมพิวเตอร์หรือในเครือข่าย

นักวิจัยเปิดเผยวิธีการหลายอย่างที่ผู้โจมตีอาจใช้เพื่อซ่อนกิจกรรมของตน คำสั่งที่ซ้อนกันเช่นอินสแตนซ์อาจใช้เพื่อดำเนินการหลายโปรแกรมโดยใช้รายการเริ่มต้นระบบเดียว คำสั่งเหล่านี้เช่น &&, & หรือ || รวมคำสั่งเดียวหรือหลายคำสั่งโดยการเพิ่มคำสั่งที่เป็นอันตรายหลังคำสั่งที่ถูกต้อง

ปัญหาอย่างหนึ่งที่เกิดขึ้นในการทำงานอัตโนมัติคือผู้ใช้หลายคนกำหนดค่าโปรแกรมให้ซ่อนรายการ Microsoft เนื่องจากถือว่าหลายคนประหยัด ปัญหาคือการซ่อนรายการ Microsoft อาจซ่อนโครงสร้างคำสั่งเหล่านี้

เทคนิคอื่น ๆ ที่นักวิจัยด้านความปลอดภัยอธิบาย ได้แก่ :

• เชลล์32.dll Indirection
• DLL Hijacking
• SyncAppvPublishingService
• ข้อผิดพลาดของบริการ DLL
• ข้อบกพร่องการสั่งซื้อการค้นหาส่วนขยาย
• SIP Hijacking
• .INF Scriptlets

นักวิจัยสรุปได้ว่า Autoruns เป็นเครื่องมือที่ยอดเยี่ยมในการระบุโปรแกรมและไฟล์เริ่มต้น แต่ไม่ใช่เครื่องมือรักษาความปลอดภัย

พวกเขาแนะนำให้ผู้ดูแลระบบและผู้ใช้ใช้เพื่อแจกแจงข้อมูลและวิเคราะห์ข้อมูลที่เครื่องมือรวบรวมโดยใช้วิธีอื่น ผู้โจมตีจะใช้เทคนิคเหล่านี้และเทคนิคที่ซับซ้อนมากขึ้นเพื่อหลบเลี่ยงการตรวจจับในการทำงานอัตโนมัติ

สำหรับสิ่งที่กังวลว่าคุณอาจทำเพื่อให้ผู้โจมตีซ่อนบางสิ่งได้ยากขึ้นสิ่งต่อไปนี้มีประโยชน์:

1. อย่าซ่อนรายการ Microsoft และ Windows ในการทำงานอัตโนมัติ คุณพบตัวเลือกในตัวเลือก> ซ่อนรายการและตัวเลือกของ Microsoft> ซ่อนรายการ Windows ข้อมูลนี้จะแสดงข้อมูลเพิ่มเติม แต่สิ่งสำคัญคือต้องดูจากมุมมองด้านความปลอดภัย
2. เปิดใช้งานตัวเลือก 'ตรวจสอบลายเซ็นรหัส' และ 'ตรวจสอบ virustotal.com' ในตัวเลือก> ตัวเลือกการสแกน
3. ตรวจสอบรายการ cmd.exe, pcalua หรือ SyncAppvPublishingService
4. ผ่านรายการทั้งหมดและมองหาคำสั่งที่ซ้อนกัน (อาจจะง่ายกว่าในการใช้ตัวเลือกบรรทัดคำสั่งเพื่อแจกแจงทั้งหมดและใช้การดำเนินการค้นหาเพื่อผ่านรายการ)

ตอนนี้คุณ : คุณจะระบุรายการทำงานอัตโนมัติและตรวจสอบได้อย่างไร? (ผ่าน Deskmodder , เปอเรเตอร์ )