El Administrador de reinicio de Windows: Cómo funciona y cómo se puede hackear – Parte 1

El malware utiliza multitud de técnicas para evitar ser detectado, y los principales ciberdelincuentes descubren y explotan continuamente nuevos métodos de ataque. Una de las técnicas menos comunes incluye aprovechar el Administrador de reinicio de Windows (Windows Restart Manager).

Para anticiparnos a los ciberatacantes, es importante es importante ser conscientes y comprender cómo funcionan.

Ver más

Since Windows Vista, the Windows Restart Manager helps to reduce or eliminate reboots during updates.

Dive into Windows the Restart Manager’s mechanisms to understand how it works, how it can be used maliciously, and how to stay protected. https://t.co/xSvRpJhGYV

— CrowdStrike (@CrowdStrike) August 25, 2023

El Administrador de Reinicio es una librería para reducir los reinicios durante las actualizaciones de software. Los archivos que pueden verse afectados durante una actualización pueden estar bloqueados por varias aplicaciones, impidiendo que el proceso de actualización los modifique. Esto puede dar lugar a un reinicio que obligue a las aplicaciones a liberar los bloqueos que tienen sobre los archivos a los que se dirige al actualizador. Como alternativa, el Administrador de Reinicio permite a los procesos liberar los bloqueos sobre los archivos objetivo terminando los procesos que los están utilizando si se cumplen las condiciones requeridas. Sin embargo, este mecanismo puede ser manipulado con fines maliciosos.

En esta serie de dos partes:

• Examinaremos los mecanismos del Administrador de reinicio utilizando un ejemplo de instalador de software.
• Mostraremos cómo el Administrador de reinicio puede utilizarse de forma maliciosa, explicando por qué y cómo los creadores de malware utilizan esta técnica específica.
• Analizaremos cómo se pueden proteger los procesos del uso malicioso del Administrador de reinicio.

Artículo en el Blog de CrowdStrike [inglés].

Recursos adicionales

• https://learn.microsoft.com/en-us/windows/win32/api/restartmanager/nf-restartmanager-rmstartsession
• https://learn.microsoft.com/en-us/windows/win32/api/restartmanager/nf-restartmanager-rmregisterresources
• https://learn.microsoft.com/en-us/windows/win32/api/restartmanager/nf-restartmanager-rmgetlist
• https://devblogs.microsoft.com/oldnewthing/20180216-00/?p=98035
• https://learn.microsoft.com/en-us/windows/win32/api/restartmanager/nf-restartmanager-rmshutdown
• https://learn.microsoft.com/en-us/windows/win32/api/restartmanager/nf-restartmanager-rmrestart
• https://learn.microsoft.com/en-us/windows/win32/api/restartmanager/nf-restartmanager-rmaddfilter
• https://learn.microsoft.com/en-us/windows/win32/api/winuser/nf-winuser-sendmessagetimeoutw
• https://learn.microsoft.com/en-us/windows/win32/shutdown/wm-queryendsession
• https://learn.microsoft.com/en-us/windows/win32/shutdown/wm-endsession
• https://learn.microsoft.com/en-us/windows/win32/winmsg/wm-close
• https://learn.microsoft.com/en-us/windows/win32/api/winsvc/nf-winsvc-controlservice
• https://learn.microsoft.com/en-us/windows/win32/api/processthreadsapi/nf-processthreadsapi-terminateprocess
• https://ninite.com/
• http://www.rohitab.com/apimonitor