ابزار کلیدی رجیستری پنهان – تیم امنیت اطلاعات

ازvpn

SharpHide

فقط یک ترفند خوب برای سردرگمی تحقیقات DFIR.

از API بومی NtSetValueKey برای ایجاد یک کلید رجیستری مخفی (با شخصیت خالی) استفاده می کند.

این ابزار از مسیر رجیستری زیر استفاده می کند که در آن یک کلید راه اندازی پنهان ایجاد می کند (HKCU ، اگر کاربر ، در غیر اینصورت HKLM) SOFTWARE Microsoft Windows CurrentVersion Run. "

تکنیک

پایداری نامشخص

نرم افزارهای در حال اجرا بدون امتیاز بالا در ویندوز از قابلیت های محدودی برخوردار هستند. اطلاعات برای بازیابی کار پس از راه اندازی مجدد سیستم (اصطلاحا ثبات).

نرم افزار مخرب که امتیازات خود را با استفاده از سوء استفاده های روزانه صفر یا بهره برداری های عمومی افزایش می دهد گزینه های بیشتری برای حفظ دارد.

با این حال ، روزهای صفر گران است و استفاده از آنها خطر افشای آنها را در پی دارد و بهره برداری های عمومی روی سیستم های وصله کار نخواهد کرد.

بیشتر بدافزارها با استفاده از روش های معروف شناخته شده حفاظت كه به راحتی قابل شناسایی هستند گیر می شوند.

ساده ترین روش صرفه جویی نوشتن مقادیر در HKEY_CURRENT_USER نرم افزار مایکروسافت ویندوز CurrentVersion اجرای (یا
کلید مشابه در HKEY_LOCAL_MACHINE).

مقادیر این کلید دستوراتی است که ویندوز هنگام ورود به سیستم کاربر (در مورد HKEY_CURRENT_USER) یا هنگام بوت شدن (در مورد HKEY_LOCAL_MACHINE) اجرا می کند.

یک برنامه مخرب مسیر فایل اجرایی خود را به کلید Run می نویسد.

بنابراین ، پس از راه اندازی مجدد ، اجرای آن را بازیابی می کند.

از آنجا که این یک روش شناخته شده است ، یک مقدار مشکوک در کلید Run یک پرچم قرمز است که نشانگر آلوده بودن سیستم است.

همچنین مکان بدافزارها را در سیستم آشکار می کند ، و ساخت نمونه آنالیز را بسیار ساده می کند.

ذخیره باینری رایگان FILE

ذخیره سازی محتویات پرونده ها بر روی یک مشکل

نرم افزار آنتی ویروس فایلها را بر روی دیسک اسکن می کند.

نرم افزار آنتی ویروس فایل ها را هشدار می دهد و امضاها را برای ابر ارسال می کند.

برخی از آنتی ویروس ها بررسی های اکتشافی را در پرونده های ذخیره شده روی دیسک انجام می دهند.

پرونده های مشکوک بدافزار حتی می توانند به سکوت به ابر فرستاده شوند.

برای مقابله با این ، نرم افزارهای مخرب چندین گزینه توسعه دارد.

پرونده های روی دیسک می توانند Droppers معمولی باشند که به اینترنت دسترسی پیدا می کنند و ماژول های قابل توجهی را دریافت می کنند (که بدون لمس دیسک در حافظه بارگذاری می شوند)

برنامه های مخرب همچنین می توانند فایلهای اجرایی ذخیره شده روی دیسک را ایجاد کنند تا از این طریق قابلیت ضد ویروس را غیرفعال نکنید.

به عنوان مثال ، از آنجا که آنتی ویروس ها اغلب قسمت های آنتروپی بالا را در PE اسکن می کند (که نشانگر داده های فشرده یا رمزگذاری شده است) ، بدافزار می تواند از محافظت در برابر رمزگذاری و فشرده سازی برای محافظت از پرونده های اجرایی خود جلوگیری کند.

از آنجا که آنتی ویروس اکتشافی دارد که جداول واردات را اسکن می کند ، بدافزارها می توانند از واردکردن عملکردهای مشکوک خودداری کنند.

چنین اقدامات متقابل برای توسعه دهندگان نرم افزارهای مخرب دشوار است ، و به هر حال تضمین نمی کند که پرونده های باینری آنها به ابر ارسال نمی شوند.

بارگیری و استفاده از

¯ _ (ツ) _ / ¯

توجه: اطلاعات مربوط به تحقیق ، آموزش یا ممیزی. استفاده خودخواهانه براساس قوانین فدراسیون روسیه قابل مجازات است.