T1569.002: Диспетчер управления службами (SCM)
Злоумышленники могут воспользоваться диспетчером управления службами Windows (SCM) для выполнения вредоносных команд или полезных нагрузок. SCM (services.exe) — это интерфейс для управления службами в Windows. SCM доступен пользователям через компоненты графического интерфейса и системные утилиты, такие как sc.exe и net.
Для выполнения команд или полезных нагрузок через временную службу Windows, созданную с помощью API SCM, также может применяться утилита PsExec. Такие инструменты, как PsExec и sc.exe, могут выполнять команды на удаленных серверах.
Злоумышленники могут воспользоваться этими механизмами для выполнения вредоносного содержимого. Для этого может потребоваться запуск новой или измененной службы. Эта техника исполнения применяется в сочетании с методами эксплуатации служб Windows на этапе закрепления службы в системе или повышения привилегий.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mssql_database: PT-CR-425: MSSQL_Windows_Service_Control: Попытка изменить состояние службы Windows из базы данных mitre_attck_execution: PT-CR-257: Windows_Service_Installed: Обнаружена попытка установить новую службу не из системных каталогов Windows mitre_attck_execution: PT-CR-217: Execute_PSEXEC: Обнаружение попыток запусить утилиту администрирования PsExec и ее аналогов mitre_attck_execution: PT-CR-1962: Remote_Registry_Enable: Возможный запуск службы "Удаленный реестр", позволяющей удаленно изменить значения ключей реестра Windows, что может быть использовано для перемещения внутри периметра mitre_attck_execution: PT-CR-778: Hidden_Service_Create: Обнаружено создание скрытой службы через реестр без использование функции CreateService mitre_attck_persistence: PT-CR-271: Service_Created_Or_Modified: Обнаружена попытка выполнить операции со службами Microsoft Windows через командную строку или PowerShell mitre_attck_lateral_movement: PT-CR-1981: SVCCTL_Connection: Удаленное подключение к диспетчеру служб с помощью интерфейса svcctl, который позволяет удаленно управлять службами Windows mitre_attck_lateral_movement: PT-CR-226: Remoting_Impacket_PsExec: Обнаружено удаленное выполнение кода с помощью PsExec из набора Impacket mitre_attck_lateral_movement: PT-CR-215: Remoting_WinExec: Обнаружено использование утилиты WinExec (Kali) для удаленного выполнения команд mitre_attck_lateral_movement: PT-CR-1752: Service_From_Remote_File_Creation: Создание службы из сетевой директории mitre_attck_lateral_movement: PT-CR-589: Remoting_SysInternals_PsExec: Обнаружено удаленное выполнение кода с помощью PsExec из набора Sysinternals Suite mitre_attck_lateral_movement: PT-CR-785: Modify_And_Start_Remote_Service: Обнаружена попытка выполнения кода или горизонтального перемещения путем изменения команды запуска системных служб hacking_tools: PT-CR-1356: Sliver_PsExec: Запуск модуля Sliver PsExec из С2 фреймворка Sliver hacking_tools: PT-CR-523: Remote_Connection_Through_SMBEXEC_WinXP: Обнаружение попыток закрепиться в системе при помощи техники SMBExec hacking_tools: PT-CR-1838: NimExec_Activity: Активность инструмента NimExec, использующегося для удаленного выполнения команд
Способы обнаружения
| ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. |
|---|
| ID | DS0019 | Источник и компонент данных | Служба: Создание службы | Описание | Отслеживайте недавно созданные службы, которые могут воспользоваться диспетчером управления службами для выполнения вредоносных команд или полезных нагрузок. |
|---|
| ID | DS0024 | Источник и компонент данных | Реестр Windows: Изменение ключа реестра Windows | Описание | Отслеживайте изменения в ключах и (или) значениях реестра, с помощью которых злоумышленники могут воспользоваться диспетчером управления службами Windows (SCM) для выполнения вредоносных команд или полезных нагрузок. |
|---|
| ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, которые могут использовать диспетчер управления службами Windows для выполнения вредоносных команд и нагрузок. Для обнаружения таких событий создания процесса можно отслеживать события системы аудита безопасности Windows с идентификатором 4688 и события Sysmon с идентификатором 1. В этом случае отслеживаются нетипичные взаимосвязи родительских и дочерних процессов. Для начала следует выполнить поиск событий запуска командной оболочки диспетчером управления службами. Добавьте в алгоритм другие взаимосвязи, которые могут быть подозрительными в вашем сетевом окружении. Для снижения числа ложных срабатываний выполняйте фильтрацию по полю событий CommandLine с такими параметрами, как /c, который выполняет команду, переданную родительским процессом. Аналитика 1. Выполнение службы
|
|---|
| ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для выполнения вредоносных команд или полезных нагрузок через диспетчер управления службами Windows (SCM). |
|---|
Меры противодействия
| ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Проследите, чтобы разрешения запрещали создавать службы, работающие на более высоком уровне разрешений, или взаимодействовать с ними пользователям с более низким уровнем разрешений. |
|---|
| ID | M1040 | Название | Предотвращение некорректного поведения | Описание | Включите правила Attack Surface Reduction (ASR) в Windows 10, чтобы блокировать запуск процессов, создаваемых PsExec . |
|---|
| ID | M1022 | Название | Ограничение разрешений для файлов и каталогов | Описание | Проследите, чтобы служебные бинарные файлы с высоким уровнем прав не могли быть заменены или изменены пользователями с более низким уровнем прав. |
|---|