web-dev-qa-db-fra.com

Comment une porte dérobée gagnerait-elle en persistance

Je sais que si vous deviez accéder à un système et le redémarrer, une porte dérobée implantée serait tuée. Ou si vous deviez localiser la porte dérobée dans le gestionnaire de tâches, vous seriez en mesure de la tuer. Cependant, je suis intéressé à savoir autre que l'ajout au registre Windows et au dossier de démarrage, comment une porte dérobée pourrait-elle gagner en persistance?

14
user160431

Vous avez juste besoin d'un moyen de démarrer le processus de manière fiable après le démarrage de la machine.

Cela peut aller de -

  • demander à Windows ou à un autre processus de le démarrer au démarrage (service, application de démarrage, etc.)
  • Remplacer ou patcher un exécutable ou une bibliothèque connue pour être appelée au démarrage ou peu de temps après le démarrage. Cela peut inclure des pilotes.
  • Détournement d'une action utilisateur courante - par exemple, modification de Google Chrome pour lancer votre propre processus (qui à son tour démarre l'application d'origine pour empêcher l'utilisateur de se rendre compte).
  • Remplacez/corrigez le bios/micrologiciel exécuté sur un périphérique matériel.
  • Utilisez un bootkit/hyperviseur pour démarrer votre code avant le système d'exploitation.
  • Attaque basée sur le matériel physique - quelque chose comme un module malveillant RAM qui injecte du code.

Vous pouvez également faire des choses comme modifier le pare-feu et les paramètres de service pour permettre la réinfection à distance.

24
Hector

La persistance est toujours le point central de toute infection pour rester simple, en plus de l'utilisation du registre Windows (puisque vous semblez ne parler que des cibles Windows), les malwares peuvent utiliser ces techniques afin de persister:

Et la liste peut s'allonger à l'infini pour savoir à quel point les développeurs sont intelligents :)

7
Soufiane Tahiri

Vous pouvez vous faire une idée des nombreuses façons différentes de démarrer automatiquement quelque chose en consultant les onglets de l'utilitaire gratuit Autoruns (de SysInternals/Microsoft, disponible sur https://docs.Microsoft.com/en-us/sysinternals/téléchargements/autoruns )

voir ci-dessous le nombre d'onglets sur cette capture d'écran de la page doc MSDN, je peux compter 18 onglets en dehors de celui "Tout"

https://docs.Microsoft.com/en-us/media/landing/sysinternals/autoruns_v13.png

0
George Birbilis