T1489: Остановка службы
Злоумышленники могут останавливать или отключать службы в системе, чтобы лишить легитимных пользователей доступа к ним. Остановка критических служб или процессов может затруднить или заблокировать процесс реагирования на инцидент, а также способствовать достижению общей цели злоумышленников — нарушению функционирования целевой среды.
Злоумышленники могут отключить отдельные службы, имеющие важное значение для организации. Например, отключение службы MSExchangeIS
лишит пользователей доступа к содержимому Exchange. В некоторых случаях злоумышленники могут остановить или отключить все или многие службы, что приведет к неработоспособности систем. Хранилища данных некоторых служб или процессов невозможно изменить, пока они запущены. Остановив такие службы или процессы, злоумышленники получают возможности уничтожения данных и шифрования данных в хранилищах данных таких служб, как Exchange и SQL Server.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mssql_database: PT-CR-425: MSSQL_Windows_Service_Control: Попытка изменить состояние службы Windows из базы данных mitre_attck_impact: PT-CR-502: Stop_Important_Service_Registry: Обнаружение попыток остановить важную службу. Список служб находится в табличном списке Significant_Services. mitre_attck_impact: PT-CR-2536: SMB_Takeover: Тип запуска службы LanmanServer изменен на "Отключен". Это может свидетельствовать об использовании техники SMB Takeover, заключающейся в отвязке и повторной привязке TCP-порта 445 с целью его контроля, например при атаках типа "Ретрансляция SMB" mitre_attck_impact: PT-CR-501: Stop_Important_Service: Попытка остановить важную службу mitre_attck_impact: PT-CR-2537: Subrule_SMB_Takeover: Тип запуска службы LanmanServer изменен на "Отключен" grafana_labs: PT-CR-2328: Grafana_Plugin_Stopped: Остановлен плагин в Grafana. Путем остановки критически важных модулей злоумышленник может вывести приложение Grafana из строя
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, которые могут останавливать или отключать службы в системе, чтобы лишить легитимных пользователей доступа к ним. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Завершение процесса | Описание | Отслеживайте процессы и аргументы командной строки, чтобы обнаружить завершение или остановку критически важных процессов. |
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Изменение ключа реестра Windows | Описание | Отслеживайте изменения в ключах и (или) значениях реестра Windows, с помощью которых злоумышленники могут останавливать или отключать службы в системе, чтобы лишить легитимных пользователей доступа к ним. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Отслеживайте изменения в файлах, с помощью которых злоумышленники могут останавливать или отключать службы в системе, чтобы лишить легитимных пользователей доступа к ним. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Средства удаленного доступа со встроенными функциями могут напрямую взаимодействовать с API Windows для выполнения этих функций независимо от стандартных системных утилит. Например, функция |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для остановки или отключения служб в системе, чтобы лишить легитимных пользователей доступа к ним. |
---|
ID | DS0019 | Источник и компонент данных | Служба: Метаданные службы | Описание | Внесение изменений в путь к бинарным файлам службы и отключение выполнения службы при запуске системы могут указывать на подозрительное поведение. |
---|
Меры противодействия
ID | M1030 | Название | Сегментация сети | Описание | Работайте с системами обнаружения, анализа и реагирования на вторжения в отдельной сети от производственной среды, чтобы снизить вероятность того, что злоумышленник сможет увидеть критические функции реагирования и вмешаться в их работу. |
---|
ID | M1018 | Название | Управление учетными записями | Описание | Ограничьте привилегии пользователей и групп пользователей таким образом, чтобы только авторизованные администраторы могли вносить изменения в службы и их конфигурацию. |
---|
ID | M1024 | Название | Ограничение прав доступа к реестру | Описание | Проследите, чтобы для реестра были установлены надлежащие разрешения, которые не позволяют злоумышленникам отключать критически важные службы или мешать их работе. |
---|
ID | M1022 | Название | Ограничение разрешений для файлов и каталогов | Описание | Проследите, чтобы у процессов и файлов были надлежащие разрешения, которые не позволяют злоумышленникам отключать критически важные службы или мешать их работе. |
---|