T1569.002: Диспетчер управления службами (SCM)
Злоумышленники могут воспользоваться диспетчером управления службами Windows (SCM) для выполнения вредоносных команд или полезных нагрузок. SCM (services.exe
) — это интерфейс для управления службами в Windows. SCM доступен пользователям через компоненты графического интерфейса и системные утилиты, такие как sc.exe
и net.
Для выполнения команд или полезных нагрузок через временную службу Windows, созданную с помощью API SCM, также может применяться утилита PsExec. Такие инструменты, как PsExec и sc.exe
, могут выполнять команды на удаленных серверах.
Злоумышленники могут воспользоваться этими механизмами для выполнения вредоносного содержимого. Для этого может потребоваться запуск новой или измененной службы. Эта техника исполнения применяется в сочетании с методами эксплуатации служб Windows на этапе закрепления службы в системе или повышения привилегий.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_execution: PT-CR-257: Windows_Service_Installed: Обнаружена попытка установить новую службу не из системных каталогов Windows
hacking_tools: PT-CR-523: Remote_Connection_through_SMBEXEC_WinXP: Обнаружение попыток закрепиться в системе при помощи техники SMBExec
mitre_attck_lateral_movement: PT-CR-1752: Service_From_Remote_File_Creation: Создание службы из сетевой директории
mitre_attck_lateral_movement: PT-CR-1981: SVCCTL_Connection: Удаленное подключение к диспетчеру служб с помощью интерфейса svcctl, который позволяет удаленно управлять службами Windows
mitre_attck_lateral_movement: PT-CR-215: Remoting_WinExec: Обнаружено использование утилиты WinExec (Kali) для удаленного выполнения команд
mitre_attck_lateral_movement: PT-CR-226: Remoting_Impacket_PsExec: Обнаружено удаленное выполнение кода с помощью PsExec из набора Impacket
mitre_attck_lateral_movement: PT-CR-589: Remoting_SysInternals_PsExec: Обнаружено удаленное выполнение кода с помощью PsExec из набора Sysinternals Suite
mitre_attck_lateral_movement: PT-CR-785: Modify_and_Start_Remote_Service: Обнаружена попытка выполнения кода или горизонтального перемещения путем изменения команды запуска системных служб
mitre_attck_execution: PT-CR-1962: Remote_Registry_Enable: Возможный запуск службы "Удаленный реестр", позволяющей удаленно изменить значения ключей реестра Windows, что может быть использовано для перемещения внутри периметра
mitre_attck_execution: PT-CR-217: Execute_PSEXEC: Обнаружение попыток запусить утилиту администрирования PsExec и ее аналогов
hacking_tools: PT-CR-1356: Sliver_PsExec: Запуск модуля Sliver PsExec из С2 фреймворка Sliver
hacking_tools: PT-CR-1838: NimExec_Activity: Активность инструмента NimExec, использующегося для удаленного выполнения команд
mitre_attck_execution: PT-CR-778: Hidden_Service_Create: Обнаружено создание скрытой службы через реестр без использование функции CreateService
mitre_attck_persistence: PT-CR-271: Service_Created_or_Modified: Обнаружена попытка выполнить операции со службами Microsoft Windows через командную строку или PowerShell
mssql_database: PT-CR-425: MSSQL_Windows_service_control: Попытка изменить состояние службы Windows из базы данных
Способы обнаружения
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Monitor network data for uncommon data flows. Processes utilizing the network that do not normally have network communication or have never been seen before are suspicious. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Monitor for newly executed processes that may abuse the Windows service control manager to execute malicious commands or payloads. Events 4688 (Microsoft Windows Security Auditing) and 1 (Microsoft Windows Sysmon) provide context of Windows processes creation that can be used to implement this detection. This detection is based on uncommon process and parent process relationships. Service Control Manager spawning command shell is a good starting point. Add more suspicious relationships based on the reality of your network environment. In order to reduce false positives, you can also filter the CommandLine event field using parameters such as /c which carries out the command specified by the parent process. Analytic 1 - Service Execution
|
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Изменение ключа реестра Windows | Описание | Monitor for changes made to windows registry keys and/or values that may abuse the Windows service control manager to execute malicious commands or payloads. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Monitor executed commands and arguments that may abuse the Windows service control manager to execute malicious commands or payloads. |
---|
ID | DS0019 | Источник и компонент данных | Служба: Создание службы | Описание | Monitor newly constructed services that abuse control manager to execute malicious commands or payloads. |
---|
Меры противодействия
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Ensure that permissions disallow services that run at a higher permissions level from being created or interacted with by a user with a lower permission level. |
---|
ID | M1040 | Название | Предотвращение некорректного поведения | Описание | On Windows 10, enable Attack Surface Reduction (ASR) rules to block processes created by PsExec from running. |
---|
ID | M1022 | Название | Ограничение разрешений для файлов и каталогов | Описание | Ensure that high permission level service binaries cannot be replaced or modified by users with a lower permission level. |
---|