Servicio de Windows publicado a través del acceso de administrador
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Los actores de amenazas abusan de los servicios de Windows para ejecutar código con privilegios elevados y establecer persistencia en sistemas comprometidos. Los enfoques comunes incluyen crear nuevos servicios con sc.exe o PowerShell, cambiar las rutas de los binarios de servicios existentes, modificar permisos de servicios a través de SDDL y abusar de las configuraciones de recuperación de servicios para lanzar comandos maliciosos cuando un servicio falla. Métodos más avanzados implican usar APIs de Windows para evitar la visibilidad de la línea de comandos o instalar controladores en modo kernel.
Investigación
El informe describe múltiples técnicas para manipular servicios de Windows y muestra cómo los atacantes pueden basarse en herramientas nativas como sc.exe, PowerShell y cambios de registro. Explica cómo se pueden secuestrar las opciones de recuperación del servicio para ejecutar cargas útiles y cómo pueden introducirse controladores en modo kernel para un acceso más profundo al sistema. La investigación también identifica los principales IDs de eventos de Windows y ubicaciones de registro que proporcionan telemetría útil para detectar este comportamiento.
Mitigación
Las organizaciones deberían aplicar defensas por capas habilitando auditorías en ubicaciones de registro relacionadas con servicios, incluyendo el hive Services y claves de configuración de recuperación relevantes. Monitorear los IDs de eventos de Windows como 7045, 7024, 4657, y 4663 es esencial para detectar la creación o modificación de servicios. Los defensores también deben proteger contra la manipulación de permisos de servicio y rastrear la actividad no autorizada de instalación de controladores en el kernel.
Respuesta
Cuando se detecta actividad sospechosa de servicios, los respondedores deben investigar el proceso iniciador y su cadena de padre-hijo, especialmente en casos donde services.exe lanza procesos de shell inesperados. Los cambios de registro deben correlacionarse con la actividad de las API como CreateServiceW, y se deben revisar los sistemas para cargas de controladores no autorizadas. La integridad de las rutas de los binarios de servicio y las configuraciones de recuperación también deben validarse en todo el entorno.
Flujo de Ataque
Aún estamos actualizando esta parte. Regístrate para ser notificado
NotifícameDetecciones
Creación de Servicio Sospechosa a través del Registro (vía línea de comandos)
Ver
Creación de Servicio Sospechosa (vía powershell)
Ver
Posible Instalación Manual de Servicio o Controlador para Persistencia (vía línea de comandos)
Ver
Posible Creación de Servicio con Binario en UNC Share (vía línea de comandos)
Ver
Creación de Servicio Sospechosa para Persistencia (vía sistema)
Ver
Comando New-Service de PowerShell para Crear Servicios Persistentes [Windows PowerShell]
Ver
Detección de Servicios Maliciosos y Abuso de Función de Recuperación [Windows System]
Ver
Detección de Creación y Configuración de Servicios Maliciosos de Windows vía sc.exe [Creación de Procesos de Windows]
Ver
Ejecución de Simulación
Prerequisito: La Verificación de Pre-vuelo de Telemetría y Línea Base debe haber sido aprobada.
Fundamento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y el relato DEBEN reflejar directamente los TTPs identificados y apuntan a generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a un diagnóstico erróneo.
-
Narrativa de Ataque y Comandos: El adversario ha obtenido acceso inicial y busca mantener una posición. Para evitar la detección por antivirus simple basado en archivos, deciden usar un enfoque de Vivir-de-la-Tierra creando un nuevo Servicio de Windows llamado «WindowsUpdateSvc» (un nombre engañoso). Este servicio está configurado para ejecutar un comando malicioso codificado en PowerShell. La creación de este servicio generará un ID de Evento del Sistema de Windows 7045, que es el desencadenante principal para la regla de detección.
-
Script de Prueba de Regresión:
# Simulación de T1543.003: Creación de un servicio malicioso para activar el ID de Evento 7045 $ServiceName = "WindowsUpdateSvc" $Payload = "powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command 'Write-Output "Persistence Established" | Out-File C:temppwned.txt'" # Crear el servicio # Nota: Esto requiere privilegios administrativos New-Service -Name $ServiceName -BinaryPathName $Payload -DisplayName "Windows Update Service" -StartupType Automatic Write-Host "Servicio $ServiceName creado. Verifique los registros de eventos del sistema para el ID de Evento 7045." -
Comandos de Limpieza:
# Limpieza: Eliminar el servicio malicioso y cualquier archivo creado $ServiceName = "WindowsUpdateSvc" Stop-Service -Name $ServiceName -ErrorAction SilentlyContinue sc.exe delete $ServiceName if (Test-Path "C:temppwned.txt") { Remove-Item "C:temppwned.txt" } Write-Host "Limpieza completa."