MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1569: Системные службы

Злоумышленники могут использовать системные службы или демоны для выполнения команд или запуска программ. Злоумышленники могут выполнять вредоносный код, взаимодействуя со службами либо создавая их локально или удаленно. Многие службы настроены на запуск при загрузке, что способствует закреплению в системе (см. технику Создание или изменение системных процессов). Однако злоумышленники могут использовать службы и для одноразового или временного выполнения кода.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

Подтехники

Способы обнаружения

IDDS0024Источник и компонент данныхРеестр Windows: Изменение ключа реестра WindowsОписание

Отслеживайте изменения в ключах реестра и (или) значениях, с помощью которых злоумышленники могут воспользоваться диспетчером управления службами Windows (SCM) для выполнения вредоносных команд или полезных нагрузок.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых процессов, которые могут использовать диспетчер управления службами Windows для выполнения вредоносных команд и нагрузок.

Для обнаружения таких событий создания процесса можно отслеживать события системы аудита безопасности Windows с ИД 4688 и события Sysmon с ИД 1.

В этом случае отслеживаются нетипичные взаимосвязи родительских и дочерних процессов. Для начала следует выполнить поиск событий запуска командной оболочки диспетчером управления службами. Добавьте в алгоритм другие взаимосвязи, которые могут быть подозрительными в вашем сетевом окружении.

Для снижения числа ложных срабатываний выполняйте фильтрацию по полю событий CommandLine с такими параметрами, как /c, который выполняет команду, переданную родительским процессом.

Анализ 1. Выполнение службы

(source="*WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="*WinEventLog:Security" EventCode="4688") | WHERE Image LIKE "*services.exe" AND Image LIKE "*cmd.exe"

IDDS0019Источник и компонент данныхСлужба: Создание службыОписание

Отслеживайте недавно созданные службы, которые могут воспользоваться диспетчером управления службами для выполнения вредоносных команд или полезных нагрузок.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Отслеживайте изменения в файлах, с помощью которых злоумышленники могут использовать системные службы или демоны для выполнения команд или запуска программ.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для выполнения вредоносных команд или полезных нагрузок через диспетчер управления службами Windows (SCM).

Меры противодействия

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Проследите, чтобы разрешения запрещали создавать службы, работающие на более высоком уровне разрешений, или взаимодействовать с ними пользователям с более низким уровнем разрешений.

IDM1018НазваниеУправление учетными записямиОписание

Не разрешайте пользователям устанавливать собственные агенты или демоны запуска.

IDM1040НазваниеПредотвращение некорректного поведенияОписание

В Windows 10 включите правила Attack Surface Reduction (ASR), чтобы блокировать процессы, созданные PsExec, от запуска .

IDM1022НазваниеОграничение разрешений для файлов и каталоговОписание

Проследите, чтобы служебные бинарные файлы с высоким уровнем прав не могли быть заменены или изменены пользователями с более низким уровнем прав.