Buenas a todos, en el post de hoy continuaremos con la cadena de
artículos sobre seguridad en el arranque de Windows, que comenzamos el
pasado verano, tratando el paso 5 de 8 dentro de nuestra clasificación y
que se corresponde con el inicio del explorer.
En el pasado post de la cadena hablamos de Winlogon y de cómo se
encargaba de arrancar Explorer.exe e iniciar Userinit.exe. Hoy veremos
qué es Explorer.exe y cómo se inicia en el sistema.
Explorer.exe es el administrador de archivos de Windows, uno de los
procesos fundamentales del sistema operativo de Microsoft, y cuya misión
principal es administrar el equipo y gestionar la interfaz del sistema
operativo (escritorio, menús, barra de tareas, etc.)
Este proceso es creado con las credenciales y permisos del usuario
autenticado. Por ello se levanta después de GINA, como ya vimos en post
anteriores de la cadena.
El resto de procesos levantados en el sistema a continuación heredan de
explorer.exe, por lo que es un proceso "muy deseado" por el malware para
inyectarse en él, y hacerse permanente. Ya os hemos mostrado en sendas
ocasiones desde Flu Project cómo utilizar meterpreter para inyectaros
en otros procesos de una máquina de la que ha sido tomado su control
remoto (migrate PID...).
El arranque de explorer.exe es realizado por el binario que lleva este
mismo nombre, y que se encuentra en la clave del registro que podéis ver
a continuación:
Últimamente ciertos malware, destacando los de tipo ransomware (como el
Virus de la Policía, conocido por ciertos lares como el virus Mortadelo
:P), se han aprovechado del funcionamiento de explorer.exe para
modificar la clave del registro donde se situaba el path del binario
explorer.exe e indicar la ruta donde se encontraba dicho malware
(AppData, Roaming, System32, ..., depende de la variante y de los
permisos del equipo de la víctima) para así automatizar el arranque
durante el inicio del sistema operativo y engañar al usuario con la
popular pantalla "policial":
Arrancando Windows en modo a prueba de fallos se evitaba su inicio y se
podía acceder al sistema para eliminar la clave del registro
referenciada y sustituirla por "explorer.exe".
Cómo veis, explorer.exe es un proceso crucial del arranque de Windows, ¡así que cuidado con él!
Publicado por
Juan Antonio Calles
