Il monitoraggio degli alveari del registro è sufficiente per rilevare l'installazione di nuovi malware?

Ci sono troppi modi in cui il malware può persistere su una macchina Windows senza toccare il registro. Ad esempio:

Cartella di avvio di Windows
Sebbene sia il più semplice e ovvio che si possa trovare, lo descrivo qui solo per mostrare che questa tecnica non richiede di toccare il registro. Nella famiglia Windows di sistemi operativi ogni utente ha una particolare cartella statup in cui ogni file eseguibile o di scelta rapida inserito verrà automaticamente eseguito dal sistema operativo all'accesso dell'utente.

Per Windows XP e Windows Server 2003, il percorso della cartella Starup è:

C:\Documents and Settings\"User Name"\Start Menu\Programs\Startup

Per Windows 7 e Windows 8, il percorso è:

C:\Users\<User Profile folder name>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

Se il malware viene inserito nelle posizioni di cui sopra, verrà eseguito ogni volta che l'utente ha effettuato l'accesso e questa tecnica non richiede alcuna modifica al registro di Windows.

Trojanize Binaries
Il malware può anche infettare i binari preesistenti e incorporare se stesso con i file eseguibili eseguibili automaticamente. Ad esempio, sostituendo uTorrent.exe con uTorrent.exe trojanizzato in cui il malware è incorporato con i risultati dell'eseguibile principale nell'esecuzione del programma legittimo, nonché l'esecuzione del file malware dannoso e non è richiesta alcuna modifica da apportare al registro. (supponendo che uTorrent.exe si trovi nell'elenco dei file eseguibili automaticamente).

Dirottamento DLL
Il semplice inserimento del file DLL del malware in una determinata posizione può anche comportare l'esecuzione del file DLL dannoso. Questo attacco è comunemente noto come dirottamento della DLL in cui il file DLL dannoso viene inserito in una posizione cercata prima dal sistema operativo prima che raggiunga il percorso legittimo della DLL. Anche in questo caso, non è richiesta alcuna modifica al registro per l'esecuzione della DLL dannosa tramite il dirottamento DLL.
Non abbiamo nemmeno sfiorato il malware persistente del BIOS anche se tali tecniche sono state dimostrate pubblicamente. In breve, ci sono troppe tecniche e metodi attraverso i quali il malware può essere eseguito automaticamente all'avvio. Una volta che l'attaccante ha afferrato la macchina, di solito è inutile rilevarla a quel punto. Il rilevamento dovrebbe quindi passare alla rete e il traffico in uscita dalla macchina dovrebbe essere analizzato. Si noti tuttavia che non è possibile eseguire netstat, wireshark o qualsiasi altro strumento sul computer compromesso poiché i rootkit possono nascondersi da qualsiasi strumento in esecuzione sul computer compromesso. Pertanto, tenendo presente il concetto di difesa in profondità, è necessario analizzare e proteggere le risorse dalle minacce identificate in più sedi e sperare che non tutte le sedi possano essere compromesse contemporaneamente dall'attaccante.

La scrittura delle voci nel Esegui sottochiave è la tecnica più comune utilizzata dal malware per lanciarsi automaticamente. Lo strumento di esecuzione automatica mostra quali programmi sono configurati per l'esecuzione durante l'avvio o l'accesso al sistema. Elenca i file eseguibili che vengono eseguiti, le DLL caricate in Internet Explorer e altri programmi e i driver caricati nel kernel.

Quindi puoi confrontare l'hash dei programmi che vengono eseguiti automaticamente quando il sistema operativo inizia contro la raccolta di hash del software "conosciuto" fornito da NSRL (libreria di riferimento del software nazionale NIST).