T1569.002: Диспетчер управления службами (SCM)

Злоумышленники могут воспользоваться диспетчером управления службами Windows (SCM) для выполнения вредоносных команд или полезных нагрузок. SCM (services.exe) — это интерфейс для управления службами в Windows. SCM доступен пользователям через компоненты графического интерфейса и системные утилиты, такие как sc.exe и net.

Для выполнения команд или полезных нагрузок через временную службу Windows, созданную с помощью API SCM, также может применяться утилита PsExec. Такие инструменты, как PsExec и sc.exe, могут выполнять команды на удаленных серверах.

Злоумышленники могут воспользоваться этими механизмами для выполнения вредоносного содержимого. Для этого может потребоваться запуск новой или измененной службы. Эта техника исполнения применяется в сочетании с методами эксплуатации служб Windows на этапе закрепления службы в системе или повышения привилегий.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_lateral_movement: PT-CR-215: Remoting_WinExec: Обнаружено использование утилиты WinExec (Kali) для удаленного выполнения команд mitre_attck_lateral_movement: PT-CR-785: Modify_And_Start_Remote_Service: Обнаружена попытка выполнения кода или горизонтального перемещения путем изменения команды запуска системных служб mitre_attck_lateral_movement: PT-CR-1752: Service_From_Remote_File_Creation: Создание службы из сетевой директории mitre_attck_lateral_movement: PT-CR-1981: SVCCTL_Connection: Удаленное подключение к диспетчеру служб с помощью интерфейса svcctl, который позволяет удаленно управлять службами Windows mitre_attck_lateral_movement: PT-CR-226: Remoting_Impacket_PsExec: Обнаружено удаленное выполнение кода с помощью PsExec из набора Impacket mitre_attck_lateral_movement: PT-CR-589: Remoting_SysInternals_PsExec: Обнаружено удаленное выполнение кода с помощью PsExec из набора Sysinternals Suite mssql_database: PT-CR-425: MSSQL_Windows_Service_Control: Попытка изменить состояние службы Windows из базы данных hacking_tools: PT-CR-1838: NimExec_Activity: Активность инструмента NimExec, использующегося для удаленного выполнения команд hacking_tools: PT-CR-2756: Subrule_WannaMine_Usage: Признаки заражения криптомайнером WannaMine. К таким признакам относятся подозрительные DNS-запросы от легитимных процессов, создание большого количества подозрительных файлов в одной директории, а также выполнение вредоносного кода путем размещения библиотеки рядом с легитимным приложением hacking_tools: PT-CR-523: Remote_Connection_Through_SMBEXEC_WinXP: Обнаружение попыток закрепиться в системе при помощи техники SMBExec hacking_tools: PT-CR-2757: WannaMine_Usage: Подозрительная активность, схожая с активностью криптомайнера WannaMine. Признаками подозрительной активности являются подозрительные DNS-запросы от легитимных процессов, создание большого количества подозрительных файлов в одной директории, а также запуск вредоносного кода путем размещения библиотеки рядом с легитимным приложением hacking_tools: PT-CR-1356: Sliver_PsExec: Запуск модуля Sliver PsExec из С2 фреймворка Sliver vulnerabilities: PT-CR-2754: MS17_010_SMB_Code_Execution: Эксплуатация уязвимости класса MS17-010. Уязвимости этого класса позволяют повысить привилегии до SYSTEM, воспользовавшись недостатками протокола SMBv1. После этого злоумышленник может создать вредоносную службу, использовав доступ к именованному каналу "svcctl", который отвечает за удаленное конфигурирование служб Windows на узлах, и выполнить произвольный код mitre_attck_execution: PT-CR-1962: Remote_Registry_Enable: Возможный запуск службы "Удаленный реестр", позволяющей удаленно изменить значения ключей реестра Windows, что может быть использовано для перемещения внутри периметра mitre_attck_execution: PT-CR-778: Hidden_Service_Create: Обнаружено создание скрытой службы через реестр без использование функции CreateService mitre_attck_execution: PT-CR-257: Windows_Service_Installed: Обнаружена попытка установить новую службу не из системных каталогов Windows mitre_attck_execution: PT-CR-217: Execute_PSEXEC: Обнаружение попыток запусить утилиту администрирования PsExec и ее аналогов mitre_attck_persistence: PT-CR-271: Service_Created_Or_Modified: Обнаружена попытка выполнить операции со службами Microsoft Windows через командную строку или PowerShell

Способы обнаружения

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для выполнения вредоносных команд или полезных нагрузок через диспетчер управления службами Windows (SCM).

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

IDDS0024Источник и компонент данныхРеестр Windows: Изменение ключа реестра WindowsОписание

Отслеживайте изменения в ключах и (или) значениях реестра, с помощью которых злоумышленники могут воспользоваться диспетчером управления службами Windows (SCM) для выполнения вредоносных команд или полезных нагрузок.

IDDS0019Источник и компонент данныхСлужба: Создание службыОписание

Отслеживайте недавно созданные службы, которые могут воспользоваться диспетчером управления службами для выполнения вредоносных команд или полезных нагрузок.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых процессов, которые могут использовать диспетчер управления службами Windows для выполнения вредоносных команд и нагрузок.

Для обнаружения таких событий создания процесса можно отслеживать события системы аудита безопасности Windows с идентификатором 4688 и события Sysmon с идентификатором 1.

В этом случае отслеживаются нетипичные взаимосвязи родительских и дочерних процессов. Для начала следует выполнить поиск событий запуска командной оболочки диспетчером управления службами. Добавьте в алгоритм другие взаимосвязи, которые могут быть подозрительными в вашем сетевом окружении.

Для снижения числа ложных срабатываний выполняйте фильтрацию по полю событий CommandLine с такими параметрами, как /c, который выполняет команду, переданную родительским процессом.

Аналитика 1. Выполнение службы

(source="*WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="*WinEventLog:Security" EventCode="4688") | WHERE Image LIKE "*services.exe" AND Image LIKE "*cmd.exe"

Меры противодействия

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Проследите, чтобы разрешения запрещали создавать службы, работающие на более высоком уровне разрешений, или взаимодействовать с ними пользователям с более низким уровнем разрешений.

IDM1040НазваниеПредотвращение некорректного поведенияОписание

Включите правила Attack Surface Reduction (ASR) в Windows 10, чтобы блокировать запуск процессов, создаваемых PsExec .

IDM1022НазваниеОграничение разрешений для файлов и каталоговОписание

Проследите, чтобы служебные бинарные файлы с высоким уровнем прав не могли быть заменены или изменены пользователями с более низким уровнем прав.