ASEP

Autostart Extensibility Points (ASEP) — это механизмы в Windows, позволяющие программному обеспечению автоматически запускаться при старте системы или при входе пользователя в систему. Они используются как легитимными программами (антивирусами, драйверами, системными сервисами), так и вредоносными программами для достижения персистентности в системе.

• 1 Ключевые категории ASEP
• 1.1 1. Записи в реестре
• 1.2 2. Каталоги автозагрузки
• 1.3 3. Задачи Планировщика (Task Scheduler)
• 1.4 4. WMI-события
• 1.5 5. Службы и драйверы
• 1.6 6. AppInit_DLLs и Image File Execution Options (IFEO)
• 2 ASEP в контексте безопасности

Ключевые категории ASEP

ASEP можно разделить на несколько основных категорий:

1. Записи в реестре

• HKLM\Software\Microsoft\Windows\CurrentVersion\Run — автозапуск программ для всех пользователей.
• HKCU\Software\Microsoft\Windows\CurrentVersion\Run — автозапуск программ для текущего пользователя.
• HKLM\SYSTEM\CurrentControlSet\Services — загрузка системных сервисов при старте Windows.
• HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit — может использоваться для подмены процессов, запускаемых при входе в систему.
• HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load — скрытый механизм автозапуска.

2. Каталоги автозагрузки

• %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup — файлы в этой папке запускаются при входе в систему.
• %ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Startup — глобальный автозапуск для всех пользователей.

3. Задачи Планировщика (Task Scheduler)

• Автоматическое выполнение задач в заданное время или при определенных триггерах.
• Распространенный способ закрепления вредоносного ПО.

4. WMI-события

• Позволяют запускать код на основе событий в системе.
• Часто используется вредоносами для скрытной персистентности.

5. Службы и драйверы

• Windows загружает службы и драйверы при старте системы.
• Вредоносное ПО может регистрироваться как сервис для автозапуска.

6. AppInit_DLLs и Image File Execution Options (IFEO)

• AppInit_DLLs загружает DLL в контекст всех процессов.
• IFEO позволяет подменять исполняемые файлы, перенаправляя их на другой код.

ASEP в контексте безопасности

ASEP активно используются вредоносными программами (троянами, руткитами, бекдорами) для достижения персистентности. Анализ автозапуска — один из ключевых этапов расследования инцидентов безопасности.

Для обнаружения нежелательных ASEP-элементов используются:

• Autoruns — детальное отображение всех точек автозапуска.
• Sysmon — ведет логи по изменениям автозапуска.
• EDR-системы — анализируют изменения ASEP в реальном времени.

Контроль ASEP помогает предотвращать атаки и обеспечивать кибербезопасность инфраструктуры.