Autoruns es un popular programa para Windows que se encarga de analizar los diferentes archivos, programas y cualquier otro elemento que se ejecuta al iniciar el sistema. Probablemente sea la herramienta más utilizada para ese fin, e incluye muchas características interesantes como escanear archivos en Virustotal, ocultar entradas de Microsoft o administrar archivos de ejecución automática para deshabilitar o eliminar elementos directamente desde el programa.

Autoruns y la seguridad

Sin embargo su uso puede no ser tan adecuado, según un estudio realizado. Evading Autoruns es un trabajo de investigación de Kyle Hanslovan y Chris Bisnett, de Huntress, que revela múltiples métodos de evasión que los usuarios maliciosos podrían utilizar para ocultar actividades en el ordenador o en una red.

Los investigadores revelan múltiples métodos que los atacantes pueden usar para ocultar su actividad. Los comandos anidados, por ejemplo, se pueden usar para ejecutar múltiples programas usando un solo elemento de inicio. Estos comandos, por ejemplo &&, & o || combinan uno o varios comandos, generalmente agregando un comando malicioso después de un comando legítimo.

Uno de los problemas que surge en Autoruns es que muchos usuarios han configurado el programa para ocultar las entradas de Microsoft. El problema es que al ocultar las entradas de Microsoft puede ocultar estas construcciones de comando.

Técnicas que pueden usar

Otras técnicas que los investigadores de seguridad describen son:

• Shell32.dll Indirection
• DLL Hijacking
• SyncAppvPublishingService
• Service DLL Bug
• Extension Search Order Bug
• SIP Hijacking
• .INF Scriptlets

Los investigadores llegan a la conclusión de que Autoruns es una gran herramienta para enumerar programas y archivos de inicio, pero que no es una herramienta de seguridad.

Sugieren que los administradores y los usuarios lo utilicen para enumerar datos, y que analicen los datos que la herramienta recopiló utilizando otros medios. Los atacantes utilizarán estas técnicas y otras más complejas para evadir la detección en Autoruns.

Dificultar la tarea a los atacantes

En lo que respecta a las cosas que puede hacer para que sea más difícil para los atacantes ocultar algo, lo siguiente es interesante:

• No ocultar las entradas de Microsoft y Windows en Autoruns. Encontrar la opción en Opciones> Ocultar entradas de Microsoft y Opciones> Ocultar entradas de Windows. Esto muestra más datos, pero es importante verlo desde un punto de vista de seguridad.
• Activar las opciones “verificar firmas de código” y “verificar virustotal.com” en Opciones> Opciones de escaneo.
• Revisar cualquier entrada cmd.exe, pcalua o SyncAppvPublishingService.
• Revisar todas las entradas y buscar los comandos anidados (puede ser más fácil usar las opciones de línea de comando para enumerar todo y usar las operaciones de búsqueda para ir a la lista).

Ya sabemos que uno de los aspectos más importantes para que nuestro equipo funcione correctamente es mantener la seguridad. Para ello lo mejor es tener actualizado nuestro dispositivo, así como contar con programas y herramientas de seguridad. Sólo así podremos hacer frente a hipotéticas amenazas. De ello hablamos en un artículo donde mencionábamos algunas de estas aplicaciones gratuitas para Windows.