Техника на mitre.org

T1574.011: Недостатки разрешений для записей реестра, относящихся к службам

Злоумышленники могут запускать свою полезную нагрузку путем подмены записей реестра, используемых службами. Злоумышленники могут, используя уязвимости в разрешениях для ключей реестра, связанных со службами, указывать вместо оригинального исполняемого файла свой, чтобы он выполнялся при старте службы. Windows хранит информацию о конфигурации локальных служб в ключе реестра HKLM\SYSTEM\CurrentControlSet\Services. Чтобы изменить параметры выполнения службы, информацию в ее ключе реестра можно модифицировать с помощью таких инструментов, как контроллер служб (sc.exe), PowerShell или reg. Доступ к ключам реестра контролируется с помощью списков контроля доступа и разрешений пользователей .

Если разрешения для пользователей и групп настроены неправильно и не запрещают доступ к ключам реестра службы, злоумышленники могут изменить параметр binPath или ImagePath службы, чтобы указать на исполняемый файл, который они контролируют. После этого при запуске или перезапуске службы будет выполняться программа, подконтрольная злоумышленникам. Это обеспечивает постоянное закрепление в системе и (или) открывает возможность повысить привилегии до уровня учетной записи, в контексте которой работает служба (локальная или доменная учетная запись, SYSTEM, LocalService или NetworkService).

Злоумышленники также могут изменять другие ключи в дереве реестра службы. Например, можно изменить ключ FailureCommand так, чтобы служба запускалась с повышенными правами при каждом ее сбое или умышленном повреждении.

Ключ Performance содержит имя DLL-библиотеки контроля производительности службы драйвера и имена нескольких экспортируемых функций в этой DLL. Если ключ Performance еще не существует и подконтрольная злоумышленнику учетная запись пользователя обладает разрешением Create Subkey, злоумышленники могут создать ключ Performance в дереве реестра службы, указывающий на вредоносную DLL-библиотеку.

Злоумышленники также могут добавить ключ Parameters, предназначенный для хранения специфических данных драйверов, или другие произвольные подключи для своих вредоносных служб, чтобы закрепиться в системе или расширить свои возможности. Кроме того, если злоумышленники запускают свои вредоносные службы через svchost.exe, файл службы указывается в значении реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\servicename\Parameters\ServiceDll.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

Мониторинг событий изменения ключей и значений реестра в ветке HKLM\SYSTEM\CurrentControlSet\Services

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

ID	DS0024	Источник и компонент данных	Реестр Windows: Изменение ключа реестра Windows	Описание	Отслеживайте модификации ключей и значений реестра, используемых службами, такими как HKLM\SYSTEM\CurrentControlSet\Services, с помощью которых злоумышленники могут запустить свой код при запуске службы.

ID	DS0019	Источник и компонент данных	Служба: Изменения в службе	Описание	Изменения в существующих службах должны происходить редко. Изменение пути к бинарным файлам службы или параметров ошибок на нестандартные, если это не связано с обновлением ПО, может свидетельствовать о вредоносной активности.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте выполнение подозрительных программ службами. Эти новые процессы можно выявить при сопоставлении запущенных процессов с историческими данными.

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться злоумышленниками для изменения ключей и значений реестра, используемых службами, через такие приложения, как инструментарий управления Windows и PowerShell. Для сбора данных об использовании этих средств рекомендуется настроить дополнительные функции журналирования.

ID	Источник и компонент данных	Описание
DS0024	Реестр Windows: Изменение ключа реестра Windows	Отслеживайте модификации ключей и значений реестра, используемых службами, такими как HKLM\SYSTEM\CurrentControlSet\Services, с помощью которых злоумышленники могут запустить свой код при запуске службы.
DS0019	Служба: Изменения в службе	Изменения в существующих службах должны происходить редко. Изменение пути к бинарным файлам службы или параметров ошибок на нестандартные, если это не связано с обновлением ПО, может свидетельствовать о вредоносной активности.
DS0009	Процесс: Создание процесса	Отслеживайте выполнение подозрительных программ службами. Эти новые процессы можно выявить при сопоставлении запущенных процессов с историческими данными.
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться злоумышленниками для изменения ключей и значений реестра, используемых службами, через такие приложения, как инструментарий управления Windows и PowerShell. Для сбора данных об использовании этих средств рекомендуется настроить дополнительные функции журналирования.

Меры противодействия

ID	M1024	Название	Ограничение прав доступа к реестру	Описание	Проследите, чтобы для кустов реестра были установлены надлежащие разрешения, которые не позволяют пользователям производить изменения ключей системных компонентов, потенциально ведущие к повышению привилегий.

ID	Название	Описание
M1024	Ограничение прав доступа к реестру	Проследите, чтобы для кустов реестра были установлены надлежащие разрешения, которые не позволяют пользователям производить изменения ключей системных компонентов, потенциально ведущие к повышению привилегий.