T1574.010: Недостатки разрешений для файлов служб
Злоумышленники могут запускать свою полезную нагрузку путем подмены исполняемых файлов, используемых службами. Злоумышленники могут использовать уязвимости в разрешениях служб Windows для замены бинарного файла, который запускается при старте службы. Процессы служб могут автоматически запускать бинарные файлы для выполнения своих функций или других задач. Если у бинарного файла или каталога, в котором он находится, установлены некорректные разрешения, пользовательского уровня разрешений может быть достаточно, чтобы перезаписать этот бинарный файл другим, после чего он будет выполнен исходным процессом. Если исходный процесс и поток имеют более высокий уровень разрешений, подставной бинарный файл тоже будет выполняться с повышенными привилегиями, в том числе SYSTEM.
Таким образом злоумышленники могут заменить легитимные бинарные файлы на вредоносные, чтобы выполнить код с более высоким уровнем разрешений. Если исполняемый процесс настроен на запуск в определенное время или при наступлении определенного события (например, при загрузке системы), эта техника также может быть применена для закрепления в системе.
Способы обнаружения
ID | DS0019 | Источник и компонент данных | Служба: Метаданные службы | Описание | Hashing of binaries and service executables could be used to detect replacement against historical data. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Monitor for newly executed processes that may execute their own malicious payloads by hijacking the binaries used by services. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Monitor for modification of binaries and service executables that do not occur during a regular software update or an update scheduled by the organization. Modification of files considers actions such as renaming and directory moving. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Monitor for creation of binaries and service executables that do not occur during a regular software update or an update scheduled by the organization. This behavior also considers files that are overwritten. |
---|
Меры противодействия
ID | M1018 | Название | Управление учетными записями | Описание | Limit privileges of user accounts and groups so that only authorized administrators can interact with service changes and service binary target path locations. Deny execution from user directories such as file download directories and temp directories where able. |
---|
ID | M1047 | Название | Аудит | Описание | Use auditing tools capable of detecting file system permissions abuse opportunities on systems within an enterprise and correct them. Toolkits like the PowerSploit framework contain PowerUp modules that can be used to explore systems for service file system permissions weaknesses. |
---|
ID | M1052 | Название | Контроль учетных записей | Описание | Turn off UAC's privilege elevation for standard users |
---|