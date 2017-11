Met honderden miljoenen varianten van Windows-malware is er ook troep dat het Windows Register niet aanpast, maar de meeste malware doet dat wel. Zo zorgt het schadelijke programma ervoor dat het automatisch wordt gestart na het opstarten, om zich beter te verbergen of om te integreren met een bestaand programma.

Vastgeklonken in de database

Door zich in het Register te verwerken is de malware lastiger te verwijderen voor de gemiddelde gebruiker. Het is handig om het Register in de gaten te houden om te zien of malware iets manipuleert. Dat is makkelijker gezegd dan gedaan, omdat de meeste legitieme software ook registersleutels toevoegt en parameters wijzigt, waardoor je een hoop ruis hebt waar false positives uitkomen.

De wijzigingen die je eigenlijk zou willen zien verdrinken in een waslijst van meldingen van aanpassingen waar je je niet druk over hoeft te maken. Maar als je daar goed mee weet om te springen, kan het monitoren van het Register een handige manier zijn om malware tijdig te detecteren. In dit artikel gaan we daar dieper op in.

Welke sleutels moet je bekijken?

Er zijn tienduizenden registersleutels, dus op welke moet je je audit richten? Iedere lijst die ik hier zou publiceren zou niet nauwkeurig genoeg zijn, maar je kunt je laten leiden door de controle van Sysinternal Autoruns. Die kijkt namelijk naar de registersleutels waarvan het logisch is dat malware ze bewerkt.

De software is behoorlijk grondig en kijkt naar sleutels in 19 verschillende secties van de database. je zou ook kunnen kijken naar een soortgelijk script met de naam Silent Runners.vbs. Ik gebruik zelf liever Autoruns, omdat het Windows-controlerende software van Microsoft zelf is, geschreven is door de legendarisch Mark Russinovich en regelmatig wordt bijgewerkt door zijn team.

Opties en paden

Dat betekent dat nieuwe aanvalsvectoren snel worden verwerkt in Autoruns. De GUI is overzichtelijk en je ziet meteen welke entries draaien met autorun om ze eventueel direct uit te schakelen, de hash ervan door te sturen naar VirusTotal voor analyse eb een vergelijking van voor en na het inschakelen van de sleutel.

Silent Runners.vbs pakt min of meer dezelfde sleutels en het zal voor sommige mensen makkelijker zijn om registerpaden vanuit dit script te pakken. Je kunt de registersleutels extraheren in Autoruns via de optie Save of met de commandline-versie Autorunsc.exe.

Welke aanpassingen zijn slecht?

Houd er overigens rekening mee dat ongeveer één procent van de malware zich alleen in het werkgeheugen bevindt en zich niet naar het primaire geheugen schrijft. Om die reden wordt geen enkele van de geteste registersleutels aangepast. Om dat soort malware op te sporen, verwijs ik je graag naar dit oudere artikel over malware-detectie.

De echte truc zit 'm in het ontdekken welke aanpassingen in het register schadelijk zijn en welke legitiem. Dat kostte vroeger veel ervaring en een uurtje graven per machine. Nu doe je het in een seconde of vijftien en behoorlijk nauwkeurig. Dat doe je door de VirusTotal-functionaliteit van Autoruns in te schakelen.

Op de volgende pagina gaan we in op grondig en handmatig controleren van registergegevens.