Desmitifique la ejecución automática y los malware

Por lo general, el administrador del sistema es responsable de administrar y proteger los datos confidenciales de la gran organización de manera sostenible. En general, su enfoque cardinal es garantizar que el sistema del servidor funcione de manera segura, implacable, confiable y estable, totalmente resistente a ataques cibernéticos extraños. Por lo tanto, este artículo está especialmente dedicado al administrador del sistema para facilitar sus actividades diarias de monitoreo por medio de varias utilidades relacionadas con el sistema disponibles gratuitamente. Este artículo expone literalmente los beneficios de aprovechar los comandos esenciales del sistema para recuperar y monitorear información confidencial durante el avance de la auditoría y las prácticas forenses de datos.

En ese sentido, el kit de herramientas Sys-internals que forma parte de la sociedad MS TechNet ofrece una amplia gama de herramientas y utilidades de diagnóstico gratuitas para agilizar la represión del administrador del sistema en un intento por identificar procesos anormales ocultos y la búsqueda de malware.

Ejecuciones automáticas –

La ejecución automática denota un servicio que se ejecuta inevitablemente sin que el usuario final lo inicie deliberadamente. El Autorun comienza a llenar su pantalla en nombre de la información recopilada de AEPS (explicada en la siguiente sección a continuación) como se muestra en la figura a continuación; Cada fila indica el nombre de las entradas, el editor, la descripción y los detalles de la ruta de la imagen (que muestra el almacén de ubicación del archivo de destino identificado por el inicio automático). Además, cada fila tiene una casilla de verificación para habilitar (las entradas solo se pueden modificar en caso de tener solo privilegios administrativos) o deshabilitar la entrada junto con el estado de análisis de VirusTotal. Autorun también identificó los servicios de InProcServer y lo resaltó con un borde amarillo con el mensaje de “Archivo no encontrado” en caso de no recuperar el archivo de destino en la ubicación estipulada. La pestaña TimeStamp también ayuda a obtener información útil sobre la clasificación de la categoría del archivo, ya que si TimeStamp muestra la hora en la zona local, entonces el archivo viene identificándose como un ejecutivo portátil (PE). Finalmente, si algún archivo de imagen que no tiene un editor válido, verificación de firma, etc., se percibe sospechosamente marcado como entradas rosas automáticamente por ejecución automática.

Antes de profundizar en la utilidad Sysinternals Autoruns, es recomendable dilucidar el término ASEP ( Autostart Extensibility Point ), que es la ubicación en el sistema de archivos y el registro que permite configurar los inicios automáticos en Windows, tanto en la versión x64 como en la versión x32 bit. De hecho, Windows en sí mismo se implementó a través de ASEP en forma de servicios, controladores, etc. Por lo tanto, la utilidad Sysinternals Autoruns capturó la información del sistema al escanear una gran cantidad de entradas de ASEP en segundos y facilitó la detección del proceso en ejecución sospechosa, además , también podría identificar y habilitar/deshabilitar los inicios automáticos.

Malware de inicio automático –

El proceso legítimo de matar un malware es identificar primero el controlador o proceso malicioso y luego terminarlo. Ahora la pregunta es cómo identificar el proceso sospechoso, luego se enumeran algunos puntos subyacentes que ayudan a señalar un proceso malicioso. Hemos buscado el proceso que no tiene ícono, certificado sin firmar, URL extraña, sin descripción de la empresa, etc. Por lo tanto, en este sentido, la ejecución automática generalmente invoca los servicios esenciales del sistema a través de los servicios de inicio automático y los controladores también durante una computadora. fase de arranque. Pero los piratas informáticos a menudo lo manejan de una manera diferente al ejecutar subrepticiamente un servicio no solicitado camuflado sin el permiso y el conocimiento del usuario. Además, realiza una entrada por sí mismo en la base de datos de inicio de forma rutinaria.


For more information refers to the startup tab being shown in above figure, which can be view by the StartUp tab of msconfig.exe utility in the Windows operating system to monitor what process is currently being started intentionally or inadvertently. Hackers typically infected the umpteen of a target’s machine by deploying their malicious software, sometimes referred to as a botnet, that is shipped with software bundled in the disk drive freely offered by computer magazine and rogue organization. The movement a user inserts the CD-ROM in the disk drive, the windows autostart service initiates the malicious software automatically by exploiting the Autorun feature of Windows operating software that enables to run software located in Pen or disk drive automatically.
Moreover, sometimes organizations lured the innocent targets by providing them free Pen drive to run their mischievous software. So, it is highly recommended to disable the autorun feature by default in order to subvert surreptitious attacks more often attacks executed by mean of Pen and disk drives.

Nota: los administradores del sistema a menudo usan la ejecución automática para capturar una línea de base de ASEP en una computadora que se puede asociar con la comparación con los resultados capturados más tarde para solucionar problemas.

Ejecuciones automáticas internas: los
piratas informáticos pueden implantar fácilmente malware en la computadora de destino o manipular los servicios existentes conectándose a él. En este sentido, el administrador del sistema a menudo confiaba en el certificado o el estado del editor para identificar la naturaleza de cualquier servicio en ejecución en busca de malware. Pero los piratas informáticos también pueden superar este obstáculo al camuflar fácilmente su malvado servicio bajo un editor de renombre como «Microsoft Corporation», etc.
Por lo tanto, la firma digital es el único resto de salvador que está completamente seguro de la integridad y autenticidad del archivo, ya que brinda un mayor grado de seguridad sobre un archivo. Por lo tanto, podemos verificar la autenticidad de una entrada a través de la opción Verificar imagen del menú Entrada seleccionando una entrada en particular que finalmente arroja los resultados que se muestran a continuación en la figura a continuación; Si el archivo se verifica a partir de una autoridad firmada con código confiable que se deriva de CA, el texto de la pestaña Editor muestra los resultados correspondientes de la siguiente manera:

Además, las entradas también se pueden eliminar desmarcando la casilla de verificación; sin embargo, las entradas eliminadas no se pueden recuperar más tarde debido a que no tienen la opción de deshacer. Los servicios no se iniciarán automáticamente durante el arranque después de deshabilitar una entrada de inicio automático. Pero no elimina el ASEP del archivo de destino correspondiente. Sin embargo, se recomienda encarecidamente que la eliminación de una entrada se realice con precaución, ya que puede poner la computadora en un estado inestable en el que no es posible la recuperación.

Componentes de Autoruns:
hay una larga lista de componentes de Autoruns, incluidos Boot, Services, Explorer, WinLogon, Drivers, etc., que se mostrarán en varias pestañas en el movimiento que se inicializó. Por lo tanto, esta sección elabora componentes importantes solo a partir de un total de 19 pestañas debido a la trivialidad del resto.
En primer lugar, la pestaña Inicio de sesión, que muestra los detalles cuando se inicia Windows y el inicio de sesión de un usuario, así como también muestra el ASEP utilizado por la aplicación. También incluye varias claves Run y ​​RunOnce, directorios de inicio y scripts de apagado.
En segundo lugar, los servicios del sistema que normalmente se configuran en la subclave deHKLM/System/CurrentControlSet\Services, los Autoruns dan de alta todos los servicios habilitados de un sistema ya sea que estén relacionados con un proceso y otros. Delinea la ruta, los editores y otra información importante como se muestra en la imagen a continuación.

Otra característica interesante es KnowDLLs que mejora el rendimiento del sistema al limitar todo el proceso para utilizar la misma versión de DLL, ya que contiene solo DLL de Windows verificadas. También se asociará con la detección de malware cuando el hacker eliminó cualquier archivo DLL subrayado e intente implementar su propia versión. Podemos identificar fácilmente el archivo vicioso comparando los resultados de las ejecuciones automáticas guardadas con una instancia conocida del mismo sistema operativo.

Los controladores del sistema que se cargan durante el arranque del sistema, como se muestra en la siguiente figura, generalmente se ejecutan en modo kernel, lo que les permite interactuar con varios hardware, almacenamiento, etc. Por lo tanto, las ejecuciones automáticas muestran solo los controladores que están marcados como habilitados con la descripción, camino, y otra connotación importante. Los Autoruns también son asistidos para deshabilitar y eliminar los controladores que entraron en vigencia después de reiniciar el sistema.

A veces, el código ejecutable con errores denominado códec de un reproductor multimedia, a menudo ralentiza el rendimiento de un sistema. Por lo tanto, las ejecuciones automáticas enumeran todo el código ejecutable que puede cargar la aplicación de reproducción de medios y uno puede identificar el rendimiento de la causa del códec mal configurado.
A continuación, la pestaña Boot Execute muestra los ejecutables que inicia y utiliza el administrador de sesión. Las pestañas Boot Execute incluyen la verificación y reparación del disco duro que normalmente realiza Windows.

Nota n.º 1: los resultados (datos) de las ejecuciones automáticas se pueden guardar en el disco en ambos formatos: formato binario y formato de texto delimitado por tabulaciones en formato de solo lectura.

Nota n.º 2: puede descargar los conjuntos completos de utilidades internas del sistema desde su sitio web en forma empaquetada, o puede ahorrarse la molestia de descargar y descomprimir las herramientas navegando directamente por su recurso compartido de archivos a través \\live.sysinternals.com\del portal de acceso desde el cuadro Ejecutar de Windows.

Todo el paquete de software de Sysinternals se puede descargar gratuitamente desde su portal Live ( https://live.sysinternals.com/files/) de la siguiente manera;

Limpieza y solución de problemas de malware

El inicio automático integrado con la utilidad API VirusTotal incorporada que escanea un archivo cargado con 50 antivirus destacados. Esta función se puede activar desde la opción Verificar virus total donde carga los hash al servidor de virus total y la ejecución automática especifica la cantidad de motores para escanear el archivo.

En consecuencia, las ejecuciones automáticas generalmente mostraban la gran cantidad no oculta de entradas de ASEP, ya que las propias ventanas dependían en gran medida de las de ASEP. Estas entradas están fuera de interés en cualquier forma, por lo que pueden ocultarse seleccionando la opción Ocultar entradas de Windows y muestra filas sombreadas para cada AEPS que escanea de la siguiente manera;

Aparte de eso, ofrece otra opción útil para la detección de malware a través de los usuarios registrados actualmente, ya que agrega automáticamente un elemento de Usuario en el menú después de ejecutarse con derechos administrativos. Cuando un usuario estándar instala un programa malicioso sin darse cuenta, la configuración del sistema no se puede cambiar para limpiarlo. Por lo tanto, la ejecución automática con privilegios de administrador permite seleccionar la cuenta potencialmente comprometida para inspeccionar su ASEP y posiblemente limpiar el malware.
 
Finalmente, en lo que respecta a la resolución de problemas, ofrece una utilidad especial de análisis fuera de línea para eliminar la configuración incorrecta de ASEP. Para hacerlo, la ejecución automática debe ejecutarse con todos los derechos con acceso a la instancia de Windows sin conexión. También será propicio para identificar esa entrada oculta de malware que es la ejecución automática en algún momento incapaz de revelar, ya que algunos malware son lo suficientemente fuertes como para ocultar su ASEP para escanear. Por lo tanto, al desconectar el sistema de una instancia de Windows, las entradas maliciosas ya no se ocultarán.

Conclusión:
el objetivo de este artículo es detectar malware en el sistema aprovechando los beneficios de la utilidad Autoruns, ya que el malware como una naturaleza típica permanece inactivo en un sistema infectado. La utilidad Autoruns ofrece una amplia gama de herramientas relacionadas con controladores, inicio de sesión, DLL, red, servicios, códec, etc. para encontrar errores de configuración y obtener el estado actual del sistema. Sin embargo, también ayuda a limpiar el malware y restaura el sistema a su última configuración buena conocida hasta cierto punto. Finalmente, llegamos a un entendimiento de los roles de las entradas ASEP que se correlacionan directamente con las colmenas de registro que se muestran en Autoruns.

 
Referencia:
https://docs.microsoft.com/en-us/sysinternals/learn/
https://www.wilderssecurity.com/threads/using-sysinternals-tools-like-a-pro-tutorials.362005/

Publicación traducida automáticamente

Artículo escrito por AjayYadav007 y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *