T1574.010: Недостатки разрешений для файлов служб

Злоумышленники могут запускать свою полезную нагрузку путем подмены исполняемых файлов, используемых службами. Злоумышленники могут использовать уязвимости в разрешениях служб Windows для замены бинарного файла, который запускается при старте службы. Процессы служб могут автоматически запускать бинарные файлы для выполнения своих функций или других задач. Если у бинарного файла или каталога, в котором он находится, установлены некорректные разрешения, пользовательского уровня разрешений может быть достаточно, чтобы перезаписать этот бинарный файл другим, после чего он будет выполнен исходным процессом. Если исходный процесс и поток имеют более высокий уровень разрешений, подставной бинарный файл тоже будет выполняться с повышенными привилегиями, в том числе SYSTEM.

Таким образом злоумышленники могут заменить легитимные бинарные файлы на вредоносные, чтобы выполнить код с более высоким уровнем разрешений. Если исполняемый процесс настроен на запуск в определенное время или при наступлении определенного события (например, при загрузке системы), эта техника также может быть применена для закрепления в системе.

Способы обнаружения

IDDS0019Источник и компонент данныхСлужба: Метаданные службыОписание

Hashing of binaries and service executables could be used to detect replacement against historical data.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Monitor for newly executed processes that may execute their own malicious payloads by hijacking the binaries used by services.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Monitor for modification of binaries and service executables that do not occur during a regular software update or an update scheduled by the organization. Modification of files considers actions such as renaming and directory moving.

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Monitor for creation of binaries and service executables that do not occur during a regular software update or an update scheduled by the organization. This behavior also considers files that are overwritten.

Меры противодействия

IDM1018НазваниеУправление учетными записямиОписание

Limit privileges of user accounts and groups so that only authorized administrators can interact with service changes and service binary target path locations. Deny execution from user directories such as file download directories and temp directories where able.

IDM1047НазваниеАудитОписание

Use auditing tools capable of detecting file system permissions abuse opportunities on systems within an enterprise and correct them. Toolkits like the PowerSploit framework contain PowerUp modules that can be used to explore systems for service file system permissions weaknesses.

IDM1052НазваниеКонтроль учетных записейОписание

Turn off UAC's privilege elevation for standard users [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]to automatically deny elevation requests, add: "ConsentPromptBehaviorUser"=dword:00000000. Consider enabling installer detection for all users by adding: "EnableInstallerDetection"=dword:00000001. This will prompt for a password for installation and also log the attempt. To disable installer detection, instead add: "EnableInstallerDetection"=dword:00000000. This may prevent potential elevation of privileges through exploitation during the process of UAC detecting the installer, but will allow the installation process to continue without being logged.