Техника на mitre.org

T1569.002: Диспетчер управления службами (SCM)

Злоумышленники могут воспользоваться диспетчером управления службами Windows (SCM) для выполнения вредоносных команд или полезных нагрузок. SCM (services.exe) — это интерфейс для управления службами в Windows. SCM доступен пользователям через компоненты графического интерфейса и системные утилиты, такие как sc.exe и net.

Для выполнения команд или полезных нагрузок через временную службу Windows, созданную с помощью API SCM, также может применяться утилита PsExec. Такие инструменты, как PsExec и sc.exe, могут выполнять команды на удаленных серверах.

Злоумышленники могут воспользоваться этими механизмами для выполнения вредоносного содержимого. Для этого может потребоваться запуск новой или измененной службы. Эта техника исполнения применяется в сочетании с методами эксплуатации служб Windows на этапе закрепления службы в системе или повышения привилегий.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_lateral_movement: PT-CR-215: Remoting_WinExec: Обнаружено использование утилиты WinExec (Kali) для удаленного выполнения команд mitre_attck_lateral_movement: PT-CR-785: Modify_And_Start_Remote_Service: Обнаружена попытка выполнения кода или горизонтального перемещения путем изменения команды запуска системных служб mitre_attck_lateral_movement: PT-CR-1752: Service_From_Remote_File_Creation: Создание службы из сетевой директории mitre_attck_lateral_movement: PT-CR-1981: SVCCTL_Connection: Удаленное подключение к диспетчеру служб с помощью интерфейса svcctl, который позволяет удаленно управлять службами Windows mitre_attck_lateral_movement: PT-CR-226: Remoting_Impacket_PsExec: Обнаружено удаленное выполнение кода с помощью PsExec из набора Impacket mitre_attck_lateral_movement: PT-CR-589: Remoting_SysInternals_PsExec: Обнаружено удаленное выполнение кода с помощью PsExec из набора Sysinternals Suite mssql_database: PT-CR-425: MSSQL_Windows_Service_Control: Попытка изменить состояние службы Windows из базы данных hacking_tools: PT-CR-1838: NimExec_Activity: Активность инструмента NimExec, использующегося для удаленного выполнения команд hacking_tools: PT-CR-2756: Subrule_WannaMine_Usage: Признаки заражения криптомайнером WannaMine. К таким признакам относятся подозрительные DNS-запросы от легитимных процессов, создание большого количества подозрительных файлов в одной директории, а также выполнение вредоносного кода путем размещения библиотеки рядом с легитимным приложением hacking_tools: PT-CR-523: Remote_Connection_Through_SMBEXEC_WinXP: Обнаружение попыток закрепиться в системе при помощи техники SMBExec hacking_tools: PT-CR-2757: WannaMine_Usage: Подозрительная активность, схожая с активностью криптомайнера WannaMine. Признаками подозрительной активности являются подозрительные DNS-запросы от легитимных процессов, создание большого количества подозрительных файлов в одной директории, а также запуск вредоносного кода путем размещения библиотеки рядом с легитимным приложением hacking_tools: PT-CR-1356: Sliver_PsExec: Запуск модуля Sliver PsExec из С2 фреймворка Sliver vulnerabilities: PT-CR-2754: MS17_010_SMB_Code_Execution: Эксплуатация уязвимости класса MS17-010. Уязвимости этого класса позволяют повысить привилегии до SYSTEM, воспользовавшись недостатками протокола SMBv1. После этого злоумышленник может создать вредоносную службу, использовав доступ к именованному каналу "svcctl", который отвечает за удаленное конфигурирование служб Windows на узлах, и выполнить произвольный код mitre_attck_execution: PT-CR-1962: Remote_Registry_Enable: Возможный запуск службы "Удаленный реестр", позволяющей удаленно изменить значения ключей реестра Windows, что может быть использовано для перемещения внутри периметра mitre_attck_execution: PT-CR-778: Hidden_Service_Create: Обнаружено создание скрытой службы через реестр без использование функции CreateService mitre_attck_execution: PT-CR-257: Windows_Service_Installed: Обнаружена попытка установить новую службу не из системных каталогов Windows mitre_attck_execution: PT-CR-217: Execute_PSEXEC: Обнаружение попыток запусить утилиту администрирования PsExec и ее аналогов mitre_attck_persistence: PT-CR-271: Service_Created_Or_Modified: Обнаружена попытка выполнить операции со службами Microsoft Windows через командную строку или PowerShell

Способы обнаружения

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для выполнения вредоносных команд или полезных нагрузок через диспетчер управления службами Windows (SCM).

ID	DS0029	Источник и компонент данных	Сетевой трафик: Поток сетевого трафика	Описание	Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

ID	DS0024	Источник и компонент данных	Реестр Windows: Изменение ключа реестра Windows	Описание	Отслеживайте изменения в ключах и (или) значениях реестра, с помощью которых злоумышленники могут воспользоваться диспетчером управления службами Windows (SCM) для выполнения вредоносных команд или полезных нагрузок.

ID	DS0019	Источник и компонент данных	Служба: Создание службы	Описание	Отслеживайте недавно созданные службы, которые могут воспользоваться диспетчером управления службами для выполнения вредоносных команд или полезных нагрузок.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте запуск новых процессов, которые могут использовать диспетчер управления службами Windows для выполнения вредоносных команд и нагрузок. Для обнаружения таких событий создания процесса можно отслеживать события системы аудита безопасности Windows с идентификатором 4688 и события Sysmon с идентификатором 1. В этом случае отслеживаются нетипичные взаимосвязи родительских и дочерних процессов. Для начала следует выполнить поиск событий запуска командной оболочки диспетчером управления службами. Добавьте в алгоритм другие взаимосвязи, которые могут быть подозрительными в вашем сетевом окружении. Для снижения числа ложных срабатываний выполняйте фильтрацию по полю событий CommandLine с такими параметрами, как /c, который выполняет команду, переданную родительским процессом. Аналитика 1. Выполнение службы `(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") \| WHERE Image LIKE "services.exe" AND Image LIKE "cmd.exe"`

ID	Источник и компонент данных	Описание
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для выполнения вредоносных команд или полезных нагрузок через диспетчер управления службами Windows (SCM).
DS0029	Сетевой трафик: Поток сетевого трафика	Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.
DS0024	Реестр Windows: Изменение ключа реестра Windows	Отслеживайте изменения в ключах и (или) значениях реестра, с помощью которых злоумышленники могут воспользоваться диспетчером управления службами Windows (SCM) для выполнения вредоносных команд или полезных нагрузок.
DS0019	Служба: Создание службы	Отслеживайте недавно созданные службы, которые могут воспользоваться диспетчером управления службами для выполнения вредоносных команд или полезных нагрузок.
DS0009	Процесс: Создание процесса	Отслеживайте запуск новых процессов, которые могут использовать диспетчер управления службами Windows для выполнения вредоносных команд и нагрузок. Для обнаружения таких событий создания процесса можно отслеживать события системы аудита безопасности Windows с идентификатором 4688 и события Sysmon с идентификатором 1. В этом случае отслеживаются нетипичные взаимосвязи родительских и дочерних процессов. Для начала следует выполнить поиск событий запуска командной оболочки диспетчером управления службами. Добавьте в алгоритм другие взаимосвязи, которые могут быть подозрительными в вашем сетевом окружении. Для снижения числа ложных срабатываний выполняйте фильтрацию по полю событий CommandLine с такими параметрами, как /c, который выполняет команду, переданную родительским процессом. Аналитика 1. Выполнение службы `(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") \| WHERE Image LIKE "services.exe" AND Image LIKE "cmd.exe"`

Меры противодействия

ID	M1026	Название	Управление привилегированными учетными записями	Описание	Проследите, чтобы разрешения запрещали создавать службы, работающие на более высоком уровне разрешений, или взаимодействовать с ними пользователям с более низким уровнем разрешений.

ID	M1040	Название	Предотвращение некорректного поведения	Описание	Включите правила Attack Surface Reduction (ASR) в Windows 10, чтобы блокировать запуск процессов, создаваемых PsExec .

ID	M1022	Название	Ограничение разрешений для файлов и каталогов	Описание	Проследите, чтобы служебные бинарные файлы с высоким уровнем прав не могли быть заменены или изменены пользователями с более низким уровнем прав.

ID	Название	Описание
M1026	Управление привилегированными учетными записями	Проследите, чтобы разрешения запрещали создавать службы, работающие на более высоком уровне разрешений, или взаимодействовать с ними пользователям с более низким уровнем разрешений.
M1040	Предотвращение некорректного поведения	Включите правила Attack Surface Reduction (ASR) в Windows 10, чтобы блокировать запуск процессов, создаваемых PsExec .
M1022	Ограничение разрешений для файлов и каталогов	Проследите, чтобы служебные бинарные файлы с высоким уровнем прав не могли быть заменены или изменены пользователями с более низким уровнем прав.