T1007: Изучение системных служб
Злоумышленники могут попытаться получить информацию о зарегистрированных локальных системных службах. Злоумышленники могут получать информацию о службах с помощью инструментов и утилит командной строки ОС, таких как sc query, tasklist /svc, systemctl --type=service и net start.
Злоумышленники могут использовать информацию, полученную при изучении системных служб в ходе автоматического обнаружения, для определения дальнейшего поведения — например, следует ли осуществить полное заражение цели и (или) предпринять какие-то конкретные действия.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
sap_suspicious_user_activity: PT-CR-242: SAPASABAP_GW_Check_Registered_Tp: Подбор зарегистрированных программ sap_suspicious_user_activity: PT-CR-248: SAPASABAP_GW_Try_Monitor_Command: Запуск команд монитора SAP Gateway mssql_database: PT-CR-559: MSSQL_Windows_Service_Discovery: Попытка получить информацию о состоянии службы Windows с помощью хранимой процедуры unix_mitre_attck_discovery: PT-CR-480: Unix_Local_Mass_Recon: Выполнено большое количество команд для сбора информации о системе. Возможен автоматизированный сбор unix_mitre_attck_discovery: PT-CR-1683: Unix_System_Service_Discovery: Получение информации о системных службах на Unix-узле mitre_attck_discovery: PT-CR-335: System_Service_Discovery: Обнаружена попытка получить список служб
Способы обнаружения
| ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для сбора системной информации, связанной со службами. Средства удаленного доступа со встроенными функциями могут напрямую взаимодействовать с API Windows для сбора информации. Сбор информации также может осуществляться с помощью системных средств администрирования, таких как инструментарий управления Windows и PowerShell. |
|---|
| ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Отслеживайте вызовы API, с помощью которых злоумышленники могут попытаться получить информацию о зарегистрированных локальных системных службах, таких как QueryServiceStatusEx. Кроме того, стоит отслеживать такие вызовы Windows API, как EnumServicesStatusExA, которые можно использовать для получения списка служб в базе данных диспетчера управления службами. Примечание. Большинство инструментов EDR не поддерживают прямой мониторинг вызовов API, так как конечная система генерирует их слишком много. Однако они могут создавать оповещения или события на основе абстракции вызовов API ОС. Для отслеживания процедуры выполнения (включая вызовы API ОС) отдельного PE-бинарного файла можно использовать инструменты динамического анализа вредоносного ПО (то есть песочницы). |
|---|
| ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов с аргументами, которые могут использоваться для сбора информации о зарегистрированных службах. Для ознакомления с особенностями среды злоумышленники обычно используют техники изучения системы и сети. Рекомендуется рассматривать события с данными не обособленно, а как элементы цепочки, за которыми могут последовать те или иные дальнейшие действия злоумышленников, например перемещение внутри периметра, в зависимости от собранной ими информации. Примечание. Указаны идентификаторы событий для Sysmon (1: создание процесса) и журнала безопасности Windows (4688: создание нового процесса). В зависимости от версии Windows, чтобы параметры командной строки включались в события создания процессов (с идентификатором 4688), может потребоваться активировать параметр групповой политики Аналитика 1. Подозрительные процессы
|
|---|