In che modo una backdoor guadagna la persistenza

Hai solo bisogno di un modo per avviare il processo in modo affidabile dopo l'avvio della macchina.

Può variare da -

• chiedendo a Windows o un altro processo di avviarlo all'avvio (servizio, applicazione di avvio ecc.)
• Sostituzione o applicazione di patch di un eseguibile o di una libreria noti per essere richiamati o subito dopo l'avvio. Questo può includere i driver.
• Dirottando un'azione dell'utente comune, ad esempio modificando le scorciatoie di Google Chrome per avviare il tuo processo (che a sua volta avvia l'applicazione originale per impedire all'utente di realizzare).
• Sostituisci / modifica bios / firmware in esecuzione su un dispositivo hardware.
• Utilizzare un bootkit / hypervisor per avviare il codice prima del sistema operativo.
• Attacco fisico basato sull'hardware - qualcosa come un modulo RAM dannoso che inietta il codice.

Puoi anche fare cose come modificare il firewall e le impostazioni del servizio per consentire la reinfezione da remoto.

La persistenza è sempre il punto centrale di qualsiasi infezione per mantenerla semplice, oltre all'utilizzo di Windows Registry (dal momento che sembra che parli solo di obiettivi Windows) i malware possono utilizzare queste tecniche per persistere:

• Collegamento / dirottamento del browser
• DLL Search Order Hijacking
• Bootkit
• COM Hijacking ...

E l'elenco può crescere all'infinito è tutto su quanto siano intelligenti gli sviluppatori:)

Puoi avere un'idea dei molti modi diversi di avviare automaticamente qualcosa controllando le schede che l'utilità Autoruns gratuita ha (da SysInternals / Microsoft, disponibile in link )

vedi sotto il numero di schede in questa schermata dalla pagina del documento MSDN, posso contare 18 schede diverse da quella "Tutto"