SOC Prime Bias: Alto

08 Jul 2026 16:01 UTC

Serviço do Windows Publicado Através de Acesso de Administrador

Author Photo
SOC Prime Team linkedin icon Seguir
Serviço do Windows Publicado Através de Acesso de Administrador
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

Os atores de ameaça abusam dos serviços do Windows para executar código com privilégios elevados e estabelecer persistência em sistemas comprometidos. Abordagens comuns incluem criar novos serviços com sc.exe ou PowerShell, alterar caminhos binários de serviços existentes, modificar permissões de serviço através de SDDL e abusar de configurações de recuperação de serviço para lançar comandos maliciosos quando um serviço falha. Métodos mais avançados envolvem o uso de APIs do Windows para evitar visibilidade da linha de comando ou a instalação de drivers em modo kernel.

Investigação

O relatório delineia múltiplas técnicas para manipular serviços do Windows e mostra como os atacantes podem se basear em ferramentas nativas como sc.exe, PowerShell e alterações no registro. Ele explica como as opções de recuperação de serviço podem ser sequestradas para executar cargas e como drivers em modo kernel podem ser introduzidos para um acesso mais profundo ao sistema. A investigação também identifica IDs de Eventos do Windows e locais de registro chave que fornecem telemetria útil para detectar esse comportamento.

Mitigação

As organizações devem aplicar defesas em camadas ao habilitar auditoria em locais de registro relacionados a serviços, incluindo a colmeia Services e chaves de configuração de recuperação relevantes. Monitorar IDs de Eventos do Windows como 7045, 7024, 4657, e 4663 é essencial para detectar criação ou modificação de serviços. Os defensores também devem proteger contra adulterações de permissões de serviço e rastrear atividades de instalação de drivers em modo kernel não autorizadas.

Resposta

Quando uma atividade suspeita de serviço é detectada, os respondedores devem investigar o processo inicial e sua cadeia pai-filho, especialmente casos onde services.exe lança processos shell inesperados. Alterações no registro devem ser correlacionadas com atividades de API como CreateServiceW, e os sistemas devem ser revisados para carregamentos não autorizados de drivers. A integridade dos caminhos binários de serviço e configurações de recuperação também deve ser validada em todo o ambiente.

Fluxo de Ataque

Ainda estamos atualizando esta parte. Inscreva-se para ser notificado

Notifique-me

Execução de Simulação

Pré-requisito: O Check de Pré-voo de Telemetria & Baseline deve ter sido aprovado.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.

  • Narrativa de Ataque & Comandos: O adversário ganhou acesso inicial e procura manter uma posição. Para evitar detecção por antivírus básico baseado em arquivos, eles decidem usar uma abordagem Living-off-the-Land criando um novo Serviço do Windows chamado “WindowsUpdateSvc” (um nome enganoso). Este serviço é configurado para executar um comando PowerShell codificado malicioso. A criação deste serviço gerará um ID de Evento do Sistema Windows 7045, que é o gatilho principal para a regra de detecção.

  • Script de Teste de Regressão:

    # Simulação de T1543.003: Criando um serviço malicioso para acionar o ID de Evento 7045
    $ServiceName = "WindowsUpdateSvc"
    $Payload = "powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command 'Write-Output "Persistência Estabelecida" | Out-File C:temppwned.txt'"
    
    # Crie o serviço
    # Nota: Isso requer privilégios administrativos
    New-Service -Name $ServiceName -BinaryPathName $Payload -DisplayName "Windows Update Service" -StartupType Automatic
    
    Write-Host "Service $ServiceName created. Check System Event Logs for Event ID 7045."
  • Comandos de Limpeza:

    # Limpeza: Remover o serviço malicioso e quaisquer arquivos criados
    $ServiceName = "WindowsUpdateSvc"
    Stop-Service -Name $ServiceName -ErrorAction SilentlyContinue
    sc.exe delete $ServiceName
    if (Test-Path "C:temppwned.txt") { Remove-Item "C:temppwned.txt" }
    Write-Host "Cleanup complete."