5 ene 2015

Seguridad en el arranque de Windows. Parte 7 de 9


Buenas a todos, en el post de hoy continuaremos con la cadena de artículos sobre seguridad en el arranque de Windows, tratando el paso 6 de 8 dentro de nuestra clasificación y que se corresponde con las entradas del Registro RunOnce.

Las entradas RunOnce son entradas del registro de un solo uso que se utilizan habitualmente, aunque no como único fin, para eliminar restos de un proceso de instalación.

Estas entradas también son utilizadas por el malware para iniciarse automáticamente con el arranque de Windows, lo que facilita su ocultación en el sistema y su persistencia.

Algunos ejemplos de claves RunOnce serían::
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RunOnce 
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RunOnce 
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RunOnceEx 
Por ejemplo, tenemos un troyano que investigamos en el laboratorio de Zink Security hace varios meses que se registraba en la siguiente clave:

  • HKEY_USERS\XXX\Software\Microsoft\Windows\CurrentVersion\RunOnce\"C:\Users\XXX\AppData\Roaming\iuhqwe\qxwiu.exe"
También es habitual que el software malicioso genere claves en estas ramas del registro, donde Windows busca las aplicaciones que se iniciarán automáticamente con el sistema: 
  • Para cualquier usuario: “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Run” 
  • Para un usuario: “HKEY_Current_User\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Run”
Por ejemplo, el malware Flu.exe genera una entrada en HKCU:


Por suerte, los motores antivirus revisan estas claves durante sus labores habituales de análisis, así que los desarrolladores de malware están utilizando algunas claves de Windows menos conocidas para ocultar su lanzamiento, como por ejemplo las claves de algunos drivers del sistema.

Cuidado con el registro,

Saludos! 

No hay comentarios:

Publicar un comentario