Security Lab

ASEP

1642
ASEP

Autostart Extensibility Points (ASEP) — это механизмы в Windows, позволяющие программному обеспечению автоматически запускаться при старте системы или при входе пользователя в систему. Они используются как легитимными программами (антивирусами, драйверами, системными сервисами), так и вредоносными программами для достижения персистентности в системе.

Ключевые категории ASEP

ASEP можно разделить на несколько основных категорий:

1. Записи в реестре

  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run — автозапуск программ для всех пользователей.
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run — автозапуск программ для текущего пользователя.
  • HKLM\SYSTEM\CurrentControlSet\Services — загрузка системных сервисов при старте Windows.
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit — может использоваться для подмены процессов, запускаемых при входе в систему.
  • HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load — скрытый механизм автозапуска.

2. Каталоги автозагрузки

  • %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup — файлы в этой папке запускаются при входе в систему.
  • %ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Startup — глобальный автозапуск для всех пользователей.

3. Задачи Планировщика (Task Scheduler)

  • Автоматическое выполнение задач в заданное время или при определенных триггерах.
  • Распространенный способ закрепления вредоносного ПО.

4. WMI-события

  • Позволяют запускать код на основе событий в системе.
  • Часто используется вредоносами для скрытной персистентности.

5. Службы и драйверы

  • Windows загружает службы и драйверы при старте системы.
  • Вредоносное ПО может регистрироваться как сервис для автозапуска.

6. AppInit_DLLs и Image File Execution Options (IFEO)

  • AppInit_DLLs загружает DLL в контекст всех процессов.
  • IFEO позволяет подменять исполняемые файлы, перенаправляя их на другой код.

ASEP в контексте безопасности

ASEP активно используются вредоносными программами (троянами, руткитами, бекдорами) для достижения персистентности. Анализ автозапуска — один из ключевых этапов расследования инцидентов безопасности.

Для обнаружения нежелательных ASEP-элементов используются:

  • Autoruns — детальное отображение всех точек автозапуска.
  • Sysmon — ведет логи по изменениям автозапуска.
  • EDR-системы — анализируют изменения ASEP в реальном времени.

Контроль ASEP помогает предотвращать атаки и обеспечивать кибербезопасность инфраструктуры.

13
Мая
// Дедлайн
Standoff Talks · CFP открыт
Не держи хороший кейс по ИБ в столе
Расскажи на Standoff Talks про атаку, защиту или багбаунти. 18–19 июня · Кибердом. CFP открыт до 13 мая.
Подать заявку →
Реклама, АО «Позитив Текнолоджиз», ИНН 7718668887, 18+

Северная Корея использовала ChatGPT для создания невидимого кибероружия

Хакеры превратили ИИ в инструмент разведки и планирования атак.