SOC Prime Bias: Alta

08 Jul 2026 16:01 UTC

Servicio de Windows publicado a través del acceso de administrador

Author Photo
SOC Prime Team linkedin icon Seguir
Servicio de Windows publicado a través del acceso de administrador
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

Los actores de amenazas abusan de los servicios de Windows para ejecutar código con privilegios elevados y establecer persistencia en sistemas comprometidos. Los enfoques comunes incluyen crear nuevos servicios con sc.exe o PowerShell, cambiar las rutas de los binarios de servicios existentes, modificar permisos de servicios a través de SDDL y abusar de las configuraciones de recuperación de servicios para lanzar comandos maliciosos cuando un servicio falla. Métodos más avanzados implican usar APIs de Windows para evitar la visibilidad de la línea de comandos o instalar controladores en modo kernel.

Investigación

El informe describe múltiples técnicas para manipular servicios de Windows y muestra cómo los atacantes pueden basarse en herramientas nativas como sc.exe, PowerShell y cambios de registro. Explica cómo se pueden secuestrar las opciones de recuperación del servicio para ejecutar cargas útiles y cómo pueden introducirse controladores en modo kernel para un acceso más profundo al sistema. La investigación también identifica los principales IDs de eventos de Windows y ubicaciones de registro que proporcionan telemetría útil para detectar este comportamiento.

Mitigación

Las organizaciones deberían aplicar defensas por capas habilitando auditorías en ubicaciones de registro relacionadas con servicios, incluyendo el hive Services y claves de configuración de recuperación relevantes. Monitorear los IDs de eventos de Windows como 7045, 7024, 4657, y 4663 es esencial para detectar la creación o modificación de servicios. Los defensores también deben proteger contra la manipulación de permisos de servicio y rastrear la actividad no autorizada de instalación de controladores en el kernel.

Respuesta

Cuando se detecta actividad sospechosa de servicios, los respondedores deben investigar el proceso iniciador y su cadena de padre-hijo, especialmente en casos donde services.exe lanza procesos de shell inesperados. Los cambios de registro deben correlacionarse con la actividad de las API como CreateServiceW, y se deben revisar los sistemas para cargas de controladores no autorizadas. La integridad de las rutas de los binarios de servicio y las configuraciones de recuperación también deben validarse en todo el entorno.

Flujo de Ataque

Aún estamos actualizando esta parte. Regístrate para ser notificado

Notifícame

Ejecución de Simulación

Prerequisito: La Verificación de Pre-vuelo de Telemetría y Línea Base debe haber sido aprobada.

Fundamento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y el relato DEBEN reflejar directamente los TTPs identificados y apuntan a generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a un diagnóstico erróneo.

  • Narrativa de Ataque y Comandos: El adversario ha obtenido acceso inicial y busca mantener una posición. Para evitar la detección por antivirus simple basado en archivos, deciden usar un enfoque de Vivir-de-la-Tierra creando un nuevo Servicio de Windows llamado «WindowsUpdateSvc» (un nombre engañoso). Este servicio está configurado para ejecutar un comando malicioso codificado en PowerShell. La creación de este servicio generará un ID de Evento del Sistema de Windows 7045, que es el desencadenante principal para la regla de detección.

  • Script de Prueba de Regresión:

    # Simulación de T1543.003: Creación de un servicio malicioso para activar el ID de Evento 7045
    $ServiceName = "WindowsUpdateSvc"
    $Payload = "powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command 'Write-Output "Persistence Established" | Out-File C:temppwned.txt'"
    
    # Crear el servicio
    # Nota: Esto requiere privilegios administrativos
    New-Service -Name $ServiceName -BinaryPathName $Payload -DisplayName "Windows Update Service" -StartupType Automatic
    
    Write-Host "Servicio $ServiceName creado. Verifique los registros de eventos del sistema para el ID de Evento 7045."
  • Comandos de Limpieza:

    # Limpieza: Eliminar el servicio malicioso y cualquier archivo creado
    $ServiceName = "WindowsUpdateSvc"
    Stop-Service -Name $ServiceName -ErrorAction SilentlyContinue
    sc.exe delete $ServiceName
    if (Test-Path "C:temppwned.txt") { Remove-Item "C:temppwned.txt" }
    Write-Host "Limpieza completa."