Comment une porte dérobée gagnerait-elle en persistance

Vous avez juste besoin d'un moyen de démarrer le processus de manière fiable après le démarrage de la machine.

Cela peut aller de -

• demander à Windows ou à un autre processus de le démarrer au démarrage (service, application de démarrage, etc.)
• Remplacer ou patcher un exécutable ou une bibliothèque connue pour être appelée au démarrage ou peu de temps après le démarrage. Cela peut inclure des pilotes.
• Détournement d'une action utilisateur courante - par exemple, modification de Google Chrome pour lancer votre propre processus (qui à son tour démarre l'application d'origine pour empêcher l'utilisateur de se rendre compte).
• Remplacez/corrigez le bios/micrologiciel exécuté sur un périphérique matériel.
• Utilisez un bootkit/hyperviseur pour démarrer votre code avant le système d'exploitation.
• Attaque basée sur le matériel physique - quelque chose comme un module malveillant RAM qui injecte du code.

Vous pouvez également faire des choses comme modifier le pare-feu et les paramètres de service pour permettre la réinfection à distance.

La persistance est toujours le point central de toute infection pour rester simple, en plus de l'utilisation du registre Windows (puisque vous semblez ne parler que des cibles Windows), les malwares peuvent utiliser ces techniques afin de persister:

• Raccourci/détournement de navigateur
• Détournement de commande de recherche de DLL
• Bootkit
• Détournement COM ...

Et la liste peut s'allonger à l'infini pour savoir à quel point les développeurs sont intelligents :)

Vous pouvez vous faire une idée des nombreuses façons différentes de démarrer automatiquement quelque chose en consultant les onglets de l'utilitaire gratuit Autoruns (de SysInternals/Microsoft, disponible sur https://docs.Microsoft.com/en-us/sysinternals/téléchargements/autoruns )

voir ci-dessous le nombre d'onglets sur cette capture d'écran de la page doc MSDN, je peux compter 18 onglets en dehors de celui "Tout"