¿El monitoreo de las colmenas del registro es suficiente para detectar una nueva instalación de malware?

Hay demasiadas formas en que el malware puede persistir en una máquina con Windows sin tocar el registro. Por ejemplo:

Carpeta de inicio de Windows
Aunque es lo más simple y obvio que se puede encontrar, todavía lo describo aquí solo para mostrar que esta técnica no requiere tocar el registro. En la familia de sistemas operativos de Windows, cada usuario tiene una carpeta específica en la que el sistema operativo ejecutará automáticamente cualquier archivo ejecutable o de acceso directo ubicado al iniciar sesión.

Para Windows XP y Windows Server 2003, la ruta de la carpeta de inicio es:

C:\Documents and Settings\"User Name"\Start Menu\Programs\Startup

Para Windows 7 y Windows 8, la ruta es:

C:\Users\<User Profile folder name>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

Si el malware se coloca en las ubicaciones anteriores, se ejecutará cada vez que el usuario inicie sesión y esta técnica no requiera ninguna modificación en el registro de Windows.

Binarios de Trojanize
El malware también puede infectar archivos binarios preexistentes e incrustarse con los archivos ejecutables autoejecutables. Por ejemplo, reemplazar uTorrent.exe con un uTorrent.exe troyano en el que el malware está incrustado con los principales resultados ejecutables en la ejecución del programa legítimo, así como en la ejecución del archivo de malware malicioso y no se requiere ninguna confirmación en el registro. (Suponiendo que uTorrent.exe esté en la lista de archivos ejecutables automáticamente).

Secuestro de DLL
El solo hecho de colocar el archivo DLL de malware en una ubicación particular también puede resultar en la ejecución del archivo DLL malicioso. Este ataque se conoce comúnmente como el secuestro de DLL en el que el archivo DLL malintencionado se coloca en una ubicación en la que el sistema operativo realiza una búsqueda antes de que llegue a la ruta DLL legítima. Nuevamente, no se requieren cambios en el registro para ejecutar la DLL maliciosa a través del secuestro de DLL.

Ni siquiera hemos tocado el malware persistente de la BIOS a pesar de que esas técnicas también se han demostrado públicamente. En resumen, hay demasiadas técnicas y métodos a través de los cuales el malware puede ejecutarse automáticamente en el momento del arranque. Una vez que el atacante se apodera de la máquina, generalmente es inútil detectarlo en ese punto. La detección se debe mover a la red y se debe analizar el tráfico saliente de la máquina. Sin embargo, tenga en cuenta que no puede ejecutar netstat, wireshark o cualquier otra herramienta en la máquina comprometida, ya que los rootkits pueden ocultarse de cualquier herramienta que se ejecute en la máquina comprometida. Por lo tanto, teniendo en cuenta el concepto de defensa en profundidad, debe analizar y proteger sus activos de las amenazas identificadas en múltiples ubicaciones y esperar que el atacante no pueda poner en peligro todas las ubicaciones al mismo tiempo.

Escribir las entradas en la Ejecutar subclave es la técnica más común utilizada por el malware para lanzarse automáticamente. La herramienta de ejecución automática le muestra qué programas están configurados para ejecutarse durante el inicio o inicio de sesión del sistema. Enumera los ejecutables que se ejecutan, las DLL cargadas en Internet Explorer y otros programas, y los controladores cargados en el kernel.

Por lo tanto, puede comparar el hash de los programas que se ejecutan automáticamente cuando el sistema operativo se inicia con la colección de hashes del software "conocido" proporcionado por el NSRL (Biblioteca de referencia de software nacional de NIST).