概要
Windows端末上で自動実行されるプログラム・プロセス・拡張機能などを列挙するツールです。Microsoft社が公開しているトラブルシューティングツール群であるSysinternalsの1つであり、無償で利用することができます。
Autoruns.exe(またはAutroruns64.exe)を実行すると、自動的にスキャンが開始され、結果が表示されます。
Autorunsの実行結果
上図に示したスキャン結果より、自動実行に関連するプログラムなどが非常に多く存在することがわかります(①赤枠のスクロールバー)。そのため、分類されたカテゴリー(②緑枠)や検索機能(③黄枠)を活用しながら、目的のプログラム等を探していきます。
スキャン結果の一例として、アンチウイルス製品のESET「C:\Program Files\ESET\ESET Security\ecmds.exe」が自動実行に関連するレジストリ「HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run」に登録されています。その結果、OS起動ごとにESETが実行されます。
マルウェア解析におけるAutorunsの有効性
マルウェアの中には活動を永続化させるために、自身や自身に関連するファイルを自動実行に登録するものが存在します。上図に示した通りWindows端末上には、自動実行に関連するフォルダーやレジストリが数多く存在するため、1つずつ確認することは現実的ではありません。そこでAutorunsを利用することで、効率的に自動実行に登録されたファイルを発見することができるようになります。
マルウェア解析時におけるAutorunsの利用例
Autorunsは、スキャン結果の保存と比較機能を有します。そのため、以下の手順のようにマルウェア感染前と感染後にそれぞれスキャンを行い、その差分をとることで、マルウェアによって自動実行に登録されたファイルを発見することができます。
1.マルウェア感染前のスキャンと保存
Autoruns.exe(またはAutoruns64.exe)を実行すると、自動的にスキャンが開始され、結果が表示されます。管理者権限で実行するとより多くの場所をスキャンすることが可能になります。
スキャン結果は、上図の保存ボタン(④青枠)から保存することができます。保存する際は、arnファイル形式とtxtファイル形式が選択できますが、後ほど利用する比較機能を使用する場合は、arnファイル形式を選択する必要があります。
2.マルウェアの実行
本解析では疑似検体を使用しています。疑似検体を実行すると、自動実行に関連するレジストリ「HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run」に、テキストファイル「%temp%\config.txt」が登録されます。
疑似検体のソースコード
3.マルウェア感染後のスキャン
マルウェア感染前のスキャン(手順1)と同様にスキャンを行います。ここでスキャン結果を保存する必要はありません。
4.マルウェア感染前と感染後の比較
<File> → <Compare>をクリックし、マルウェア感染前のスキャン(手順1)で保存したarnファイルを選択することで、マルウェア感染後のスキャン結果との比較結果が表示されます。
疑似検体実行前と実行後の比較結果
以上の手順により、疑似検体によって登録されたテキストファイル「%temp%\config.txt」と登録された自動実行に関連するレジストリ「HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run」を特定することができました。