T1489: Остановка службы

Злоумышленники могут останавливать или отключать службы в системе, чтобы лишить легитимных пользователей доступа к ним. Остановка критических служб или процессов может затруднить или заблокировать процесс реагирования на инцидент, а также способствовать достижению общей цели злоумышленников — нарушению функционирования целевой среды.

Злоумышленники могут отключить отдельные службы, имеющие важное значение для организации. Например, отключение службы MSExchangeIS лишит пользователей доступа к содержимому Exchange. В некоторых случаях злоумышленники могут остановить или отключить все или многие службы, что приведет к неработоспособности систем. Хранилища данных некоторых служб или процессов невозможно изменить, пока они запущены. Остановив такие службы или процессы, злоумышленники получают возможности уничтожения данных и шифрования данных в хранилищах данных таких служб, как Exchange и SQL Server.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mssql_database: PT-CR-425: MSSQL_Windows_Service_Control: Попытка изменить состояние службы Windows из базы данных mitre_attck_impact: PT-CR-502: Stop_Important_Service_Registry: Обнаружение попыток остановить важную службу. Список служб находится в табличном списке Significant_Services. mitre_attck_impact: PT-CR-2536: SMB_Takeover: Тип запуска службы LanmanServer изменен на "Отключен". Это может свидетельствовать об использовании техники SMB Takeover, заключающейся в отвязке и повторной привязке TCP-порта 445 с целью его контроля, например при атаках типа "Ретрансляция SMB" mitre_attck_impact: PT-CR-501: Stop_Important_Service: Попытка остановить важную службу mitre_attck_impact: PT-CR-2537: Subrule_SMB_Takeover: Тип запуска службы LanmanServer изменен на "Отключен" grafana_labs: PT-CR-2328: Grafana_Plugin_Stopped: Остановлен плагин в Grafana. Путем остановки критически важных модулей злоумышленник может вывести приложение Grafana из строя

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых процессов, которые могут останавливать или отключать службы в системе, чтобы лишить легитимных пользователей доступа к ним.

IDDS0009Источник и компонент данныхПроцесс: Завершение процессаОписание

Отслеживайте процессы и аргументы командной строки, чтобы обнаружить завершение или остановку критически важных процессов.

IDDS0024Источник и компонент данныхРеестр Windows: Изменение ключа реестра WindowsОписание

Отслеживайте изменения в ключах и (или) значениях реестра Windows, с помощью которых злоумышленники могут останавливать или отключать службы в системе, чтобы лишить легитимных пользователей доступа к ним.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Отслеживайте изменения в файлах, с помощью которых злоумышленники могут останавливать или отключать службы в системе, чтобы лишить легитимных пользователей доступа к ним.

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Средства удаленного доступа со встроенными функциями могут напрямую взаимодействовать с API Windows для выполнения этих функций независимо от стандартных системных утилит. Например, функция ChangeServiceConfigW может быть использована злоумышленником для блокировки запуска служб.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для остановки или отключения служб в системе, чтобы лишить легитимных пользователей доступа к ним.

IDDS0019Источник и компонент данныхСлужба: Метаданные службыОписание

Внесение изменений в путь к бинарным файлам службы и отключение выполнения службы при запуске системы могут указывать на подозрительное поведение.

Меры противодействия

IDM1030НазваниеСегментация сетиОписание

Работайте с системами обнаружения, анализа и реагирования на вторжения в отдельной сети от производственной среды, чтобы снизить вероятность того, что злоумышленник сможет увидеть критические функции реагирования и вмешаться в их работу.

IDM1018НазваниеУправление учетными записямиОписание

Ограничьте привилегии пользователей и групп пользователей таким образом, чтобы только авторизованные администраторы могли вносить изменения в службы и их конфигурацию.

IDM1024НазваниеОграничение прав доступа к рееструОписание

Проследите, чтобы для реестра были установлены надлежащие разрешения, которые не позволяют злоумышленникам отключать критически важные службы или мешать их работе.

IDM1022НазваниеОграничение разрешений для файлов и каталоговОписание

Проследите, чтобы у процессов и файлов были надлежащие разрешения, которые не позволяют злоумышленникам отключать критически важные службы или мешать их работе.