MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1489: Остановка службы

Злоумышленники могут останавливать или отключать службы в системе, чтобы лишить легитимных пользователей доступа к ним. Остановка критических служб или процессов может затруднить или заблокировать процесс реагирования на инцидент, а также способствовать достижению общей цели злоумышленников — нарушению функционирования целевой среды.

Злоумышленники могут отключить отдельные службы, имеющие важное значение для организации. Например, отключение службы MSExchangeIS лишит пользователей доступа к содержимому Exchange. В некоторых случаях злоумышленники могут остановить или отключить все или многие службы, что приведет к неработоспособности систем. Хранилища данных некоторых служб или процессов невозможно изменить, пока они запущены. Остановив такие службы или процессы, злоумышленники получают возможности уничтожения данных и шифрования данных в хранилищах данных таких служб, как Exchange и SQL Server.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

grafana_labs: PT-CR-2328: Grafana_Plugin_Stopped: Остановлен плагин в Grafana. Путем остановки критически важных модулей злоумышленник может вывести приложение Grafana из строя
mitre_attck_impact: PT-CR-501: Stop_Important_Service: Попытка остановить важную службу
mitre_attck_impact: PT-CR-502: Stop_Important_Service_registry: Обнаружение попыток остановить важную службу. Список служб находится в табличном списке Significant_services.
monitoring: PT-CR-9: Network_service_inaccessibility: Сервис не работает
monitoring: PT-CR-12: Unix_service_unavailability: Сервис не работает
mssql_database: PT-CR-425: MSSQL_Windows_service_control: Попытка изменить состояние службы Windows из базы данных

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Завершение процессаОписание

Отслеживайте процессы и аргументы командной строки, чтобы обнаружить завершение или остановку критически важных процессов.

IDDS0019Источник и компонент данныхСлужба: Метаданные службыОписание

Внесение изменений в путь к бинарным файлам службы и отключение выполнения службы при запуске системы могут указывать на подозрительное поведение.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых процессов, которые могут останавливать или отключать службы в системе, чтобы лишить легитимных пользователей доступа к ним.

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Средства удаленного доступа со встроенными функциями могут напрямую взаимодействовать с API Windows для выполнения этих функций независимо от стандартных системных утилит. Например, функция ChangeServiceConfigW может быть использована злоумышленником для блокировки запуска служб.

IDDS0024Источник и компонент данныхРеестр Windows: Изменение ключа реестра WindowsОписание

Отслеживайте изменения в ключах реестра Windows и (или) значениях, с помощью которых злоумышленники могут останавливать или отключать службы в системе, чтобы лишить легитимных пользователей доступа к ним.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для остановки или отключения служб в системе, чтобы лишить легитимных пользователей доступа к ним.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Отслеживайте изменения в файлах, с помощью которых злоумышленники могут останавливать или отключать службы в системе, чтобы лишить легитимных пользователей доступа к ним.

Меры противодействия

IDM1030НазваниеСегментация сетиОписание

Работайте с системами обнаружения, анализа и реагирования на вторжения в отдельной сети от производственной среды, чтобы снизить вероятность того, что злоумышленник сможет увидеть критические функции реагирования и вмешаться в их работу.

IDM1018НазваниеУправление учетными записямиОписание

Ограничьте привилегии пользователей и групп пользователей таким образом, чтобы только авторизованные администраторы могли вносить изменения в службы и их конфигурацию.

IDM1024НазваниеОграничение прав доступа к рееструОписание

Проследите, чтобы в реестре были надлежащие разрешения, чтобы не допустить отключения или вмешательства злоумышленника в работу критически важных служб.

IDM1022НазваниеОграничение разрешений для файлов и каталоговОписание

Обеспечьте надлежащие разрешения на процессы и файлы, чтобы не допустить отключения или вмешательства злоумышленника в работу критически важных служб.