Техника на mitre.org

T1574.010: Недостатки разрешений для файлов служб

Злоумышленники могут запускать свою полезную нагрузку путем подмены исполняемых файлов, используемых службами. Злоумышленники могут использовать уязвимости в разрешениях служб Windows для замены бинарного файла, который запускается при старте службы. Процессы служб могут автоматически запускать бинарные файлы для выполнения своих функций или других задач. Если у бинарного файла или каталога, в котором он находится, установлены некорректные разрешения, пользовательского уровня разрешений может быть достаточно, чтобы перезаписать этот бинарный файл другим, после чего он будет выполнен исходным процессом. Если исходный процесс и поток имеют более высокий уровень разрешений, подставной бинарный файл тоже будет выполняться с повышенными привилегиями, в том числе SYSTEM.

Таким образом злоумышленники могут заменить легитимные бинарные файлы на вредоносные, чтобы выполнить код с более высоким уровнем разрешений. Если исполняемый процесс настроен на запуск в определенное время или при наступлении определенного события (например, при загрузке системы), эта техника также может быть применена для закрепления в системе.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_privilege_escalation: PT-CR-3069: Intel_ShaderCache_UAC_Bypass: Подозрительные действия с папкой ShaderCache, используемой драйвером Intel UHD Graphics: папка создана, удалены ее файлы или изменены разрешения. Это может быть попыткой злоумышленников обойти контроль учетных записей Windows (UAC) путем злоупотребления некорректно заданными разрешениями папки ShaderCache vulnerabilities: PT-CR-3064: Subrule_CVE_2025_48799_PrivEsc_Via_Windows_Update_Service: Подозрительная активность, связанная с установкой MSI-пакетов или приложения vulnerabilities: PT-CR-3065: CVE_2025_48799_PrivEsc_Via_Windows_Update_Service: Возможная эксплуатация уязвимости CVE-2025-48799. Эта уязвимость позволяет удалить содержимое произвольного каталога, а затем повысить привилегии путем манипуляций с процессом установки MSI-пакетов. К признакам эксплуатации относится удаление сценария отката, создание файла отката процессом, отличным от Msiexec.exe, а также создание каталога WuDownloadCache с запуском процесса, вызывающего установку произвольного приложения, что приводит к удалению каталога C:\Config.Msi

Способы обнаружения

ID	DS0022	Источник и компонент данных	Файл: Создание файла	Описание	Отслеживайте создание бинарных и исполняемых файлов служб за пределами обычных обновлений ПО и обновлений, запланированных организацией. Это также распространяется на перезапись файлов.

ID	DS0022	Источник и компонент данных	Файл: Изменение файла	Описание	Отслеживайте модификацию бинарных и исполняемых файлов служб за пределами обычных обновлений ПО и обновлений, запланированных организацией. Модификацией можно считать действия, связанные с переименованием файлов и их перемещением между каталогами.

ID	DS0019	Источник и компонент данных	Служба: Метаданные службы	Описание	Хеширование бинарных и исполняемых файлов служб помогает обнаружить подмену данных путем их сверки с сохраненными значениями.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте запуск новых процессов, которые могут выполнять полезную нагрузку путем перехвата бинарных файлов, используемых службами.

ID	Источник и компонент данных	Описание
DS0022	Файл: Создание файла	Отслеживайте создание бинарных и исполняемых файлов служб за пределами обычных обновлений ПО и обновлений, запланированных организацией. Это также распространяется на перезапись файлов.
DS0022	Файл: Изменение файла	Отслеживайте модификацию бинарных и исполняемых файлов служб за пределами обычных обновлений ПО и обновлений, запланированных организацией. Модификацией можно считать действия, связанные с переименованием файлов и их перемещением между каталогами.
DS0019	Служба: Метаданные службы	Хеширование бинарных и исполняемых файлов служб помогает обнаружить подмену данных путем их сверки с сохраненными значениями.
DS0009	Процесс: Создание процесса	Отслеживайте запуск новых процессов, которые могут выполнять полезную нагрузку путем перехвата бинарных файлов, используемых службами.

Меры противодействия

ID	M1018	Название	Управление учетными записями	Описание	Ограничьте привилегии пользователей и групп пользователей таким образом, чтобы только авторизованные администраторы могли вносить изменения в службы и пути к бинарным файлам служб. По возможности запретите выполнение кода из пользовательских каталогов, таких как каталоги загрузки файлов и временные каталоги.

ID	M1047	Название	Аудит	Описание	Используйте средства аудита, способные обнаружить возможности злоупотребления правами доступа к файловой системе в системах предприятия и устранить их. Такие наборы инструментов, как фреймворк PowerSploit, содержат модули PowerUp, с помощью которых можно исследовать системы на предмет слабых мест в разрешениях служебных файловых систем.

ID	M1052	Название	Контроль учетных записей	Описание	Отключите повышение привилегий UAC для стандартных пользователей `[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]`. Чтобы автоматически отклонять запросы на повышение привилегий, добавьте `"ConsentPromptBehaviorUser"=dword:00000000`. По возможности включите обнаружение установщика для всех пользователей, добавив `"EnableInstallerDetection"=dword:00000001`. После этого при установке будет запрашиваться пароль и попытки установки будут регистрироваться в журнале. Чтобы отключить обнаружение установщика, вместо этого добавьте `"EnableInstallerDetection"=dword:00000000`. Это может предотвратить потенциальное повышение привилегий за счет эксплуатации в процессе обнаружения UAC программы установки, но позволит продолжить процесс установки без регистрации.

ID	Название	Описание
M1018	Управление учетными записями	Ограничьте привилегии пользователей и групп пользователей таким образом, чтобы только авторизованные администраторы могли вносить изменения в службы и пути к бинарным файлам служб. По возможности запретите выполнение кода из пользовательских каталогов, таких как каталоги загрузки файлов и временные каталоги.
M1047	Аудит	Используйте средства аудита, способные обнаружить возможности злоупотребления правами доступа к файловой системе в системах предприятия и устранить их. Такие наборы инструментов, как фреймворк PowerSploit, содержат модули PowerUp, с помощью которых можно исследовать системы на предмет слабых мест в разрешениях служебных файловых систем.
M1052	Контроль учетных записей	Отключите повышение привилегий UAC для стандартных пользователей `[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]`. Чтобы автоматически отклонять запросы на повышение привилегий, добавьте `"ConsentPromptBehaviorUser"=dword:00000000`. По возможности включите обнаружение установщика для всех пользователей, добавив `"EnableInstallerDetection"=dword:00000001`. После этого при установке будет запрашиваться пароль и попытки установки будут регистрироваться в журнале. Чтобы отключить обнаружение установщика, вместо этого добавьте `"EnableInstallerDetection"=dword:00000000`. Это может предотвратить потенциальное повышение привилегий за счет эксплуатации в процессе обнаружения UAC программы установки, но позволит продолжить процесс установки без регистрации.