T1489: Остановка службы
Злоумышленники могут останавливать или отключать службы в системе, чтобы лишить легитимных пользователей доступа к ним. Остановка критических служб или процессов может затруднить или заблокировать процесс реагирования на инцидент, а также способствовать достижению общей цели злоумышленников — нарушению функционирования целевой среды.
Злоумышленники могут отключить отдельные службы, имеющие важное значение для организации. Например, отключение службы MSExchangeIS
лишит пользователей доступа к содержимому Exchange. В некоторых случаях злоумышленники могут остановить или отключить все или многие службы, что приведет к неработоспособности систем. Хранилища данных некоторых служб или процессов невозможно изменить, пока они запущены. Остановив такие службы или процессы, злоумышленники получают возможности уничтожения данных и шифрования данных в хранилищах данных таких служб, как Exchange и SQL Server.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
grafana_labs: PT-CR-2328: Grafana_Plugin_Stopped: Остановлен плагин в Grafana. Путем остановки критически важных модулей злоумышленник может вывести приложение Grafana из строя
mitre_attck_impact: PT-CR-501: Stop_Important_Service: Попытка остановить важную службу
mitre_attck_impact: PT-CR-502: Stop_Important_Service_registry: Обнаружение попыток остановить важную службу. Список служб находится в табличном списке Significant_services.
monitoring: PT-CR-9: Network_service_inaccessibility: Сервис не работает
monitoring: PT-CR-12: Unix_service_unavailability: Сервис не работает
mssql_database: PT-CR-425: MSSQL_Windows_service_control: Попытка изменить состояние службы Windows из базы данных
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Завершение процесса | Описание | Отслеживайте процессы и аргументы командной строки, чтобы обнаружить завершение или остановку критически важных процессов. |
---|
ID | DS0019 | Источник и компонент данных | Служба: Метаданные службы | Описание | Внесение изменений в путь к бинарным файлам службы и отключение выполнения службы при запуске системы могут указывать на подозрительное поведение. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, которые могут останавливать или отключать службы в системе, чтобы лишить легитимных пользователей доступа к ним. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Средства удаленного доступа со встроенными функциями могут напрямую взаимодействовать с API Windows для выполнения этих функций независимо от стандартных системных утилит. Например, функция |
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Изменение ключа реестра Windows | Описание | Отслеживайте изменения в ключах реестра Windows и (или) значениях, с помощью которых злоумышленники могут останавливать или отключать службы в системе, чтобы лишить легитимных пользователей доступа к ним. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для остановки или отключения служб в системе, чтобы лишить легитимных пользователей доступа к ним. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Отслеживайте изменения в файлах, с помощью которых злоумышленники могут останавливать или отключать службы в системе, чтобы лишить легитимных пользователей доступа к ним. |
---|
Меры противодействия
ID | M1030 | Название | Сегментация сети | Описание | Работайте с системами обнаружения, анализа и реагирования на вторжения в отдельной сети от производственной среды, чтобы снизить вероятность того, что злоумышленник сможет увидеть критические функции реагирования и вмешаться в их работу. |
---|
ID | M1018 | Название | Управление учетными записями | Описание | Ограничьте привилегии пользователей и групп пользователей таким образом, чтобы только авторизованные администраторы могли вносить изменения в службы и их конфигурацию. |
---|
ID | M1024 | Название | Ограничение прав доступа к реестру | Описание | Проследите, чтобы в реестре были надлежащие разрешения, чтобы не допустить отключения или вмешательства злоумышленника в работу критически важных служб. |
---|
ID | M1022 | Название | Ограничение разрешений для файлов и каталогов | Описание | Обеспечьте надлежащие разрешения на процессы и файлы, чтобы не допустить отключения или вмешательства злоумышленника в работу критически важных служб. |
---|