T1569: Системные службы
Злоумышленники могут использовать системные службы или демоны для выполнения команд или запуска программ. Злоумышленники могут выполнять вредоносный код, взаимодействуя со службами либо создавая их локально или удаленно. Многие службы настроены на запуск при загрузке, что способствует закреплению в системе (см. технику Создание или изменение системных процессов). Однако злоумышленники могут использовать службы и для одноразового или временного выполнения кода.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
Подтехники
Способы обнаружения
ID | DS0024 | Источник и компонент данных | Реестр Windows: Изменение ключа реестра Windows | Описание | Отслеживайте изменения в ключах реестра и (или) значениях, с помощью которых злоумышленники могут воспользоваться диспетчером управления службами Windows (SCM) для выполнения вредоносных команд или полезных нагрузок. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, которые могут использовать диспетчер управления службами Windows для выполнения вредоносных команд и нагрузок. Для обнаружения таких событий создания процесса можно отслеживать события системы аудита безопасности Windows с ИД 4688 и события Sysmon с ИД 1. В этом случае отслеживаются нетипичные взаимосвязи родительских и дочерних процессов. Для начала следует выполнить поиск событий запуска командной оболочки диспетчером управления службами. Добавьте в алгоритм другие взаимосвязи, которые могут быть подозрительными в вашем сетевом окружении. Для снижения числа ложных срабатываний выполняйте фильтрацию по полю событий CommandLine с такими параметрами, как /c, который выполняет команду, переданную родительским процессом. Анализ 1. Выполнение службы
|
---|
ID | DS0019 | Источник и компонент данных | Служба: Создание службы | Описание | Отслеживайте недавно созданные службы, которые могут воспользоваться диспетчером управления службами для выполнения вредоносных команд или полезных нагрузок. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Отслеживайте изменения в файлах, с помощью которых злоумышленники могут использовать системные службы или демоны для выполнения команд или запуска программ. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для выполнения вредоносных команд или полезных нагрузок через диспетчер управления службами Windows (SCM). |
---|
Меры противодействия
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Проследите, чтобы разрешения запрещали создавать службы, работающие на более высоком уровне разрешений, или взаимодействовать с ними пользователям с более низким уровнем разрешений. |
---|
ID | M1018 | Название | Управление учетными записями | Описание | Не разрешайте пользователям устанавливать собственные агенты или демоны запуска. |
---|
ID | M1040 | Название | Предотвращение некорректного поведения | Описание | В Windows 10 включите правила Attack Surface Reduction (ASR), чтобы блокировать процессы, созданные PsExec, от запуска . |
---|
ID | M1022 | Название | Ограничение разрешений для файлов и каталогов | Описание | Проследите, чтобы служебные бинарные файлы с высоким уровнем прав не могли быть заменены или изменены пользователями с более низким уровнем прав. |
---|