Windows-Dienst über Administratorzugang veröffentlicht
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Bedrohungsakteure missbrauchen Windows-Dienste, um Code mit erhöhten Privilegien auszuführen und Persistenz auf kompromittierten Systemen zu etablieren. Häufige Ansätze beinhalten das Erstellen neuer Dienste mit sc.exe oder PowerShell, das Ändern vorhandener Dienst-Binärpfade, das Ändern von Dienstberechtigungen über SDDL und das Ausnutzen von Dienstwiederherstellungseinstellungen, um bösartige Befehle zu starten, wenn ein Dienst fehlschlägt. Fortgeschrittenere Methoden umfassen die Verwendung von Windows-APIs, um die Sichtbarkeit der Befehlszeile zu vermeiden oder Kernelmodustreiber zu installieren.
Untersuchung
Der Bericht skizziert mehrere Techniken zur Manipulation von Windows-Diensten und zeigt, wie Angreifer auf native Tools wie sc.exe, PowerShell und Registry-Änderungen zurückgreifen können. Er erläutert, wie Optionen zur Dienstwiederherstellung gekapert werden können, um Nutzlasten auszuführen, und wie Kernelmodustreiber zur tiefergehenden Systemzugriff eingeführt werden können. Die Untersuchung identifiziert auch wichtige Windows-Event-IDs und Registrierungsorte, die nützliche Telemetrie zur Erkennung dieses Verhaltens bieten.
Abschwächung
Organisationen sollten geschichtete Abwehrmaßnahmen anwenden, indem sie das Auditieren von dienstbezogenen Registrierungslokationen einschalten, einschließlich des Dienstleistung Hives und relevanter Wiederherstellungskonfigurationsschlüssel. Die Überwachung von Windows-Event-IDs wie 7045, 7024, 4657und 4663 ist unerlässlich, um Dienst-Erstellungen oder -Änderungen zu erkennen. Verteidiger sollten auch den Schutz gegen das Ändern von Dienstberechtigungen sicherstellen und die Installation unerlaubter Kernel-Treiberaktivitäten verfolgen.
Reaktion
Wenn verdächtige Dienstaktivitäten erkannt werden, sollten Responder den initiierenden Prozess und seine Eltern-Kind-Kette untersuchen, insbesondere in Fällen, in denen services.exe unerwartete Shell-Prozesse startet. Registry-Änderungen sollten mit API-Aktivitäten wie CreateServiceWkorreliert werden, und Systeme sollten auf unerlaubte Treiberlächer überprüft werden. Die Integrität der Dienst-Binärpfade und der Wiederherstellungseinstellungen sollte im gesamten Umfeld validiert werden.
Angriffsablauf
Wir aktualisieren diesen Teil noch. Melden Sie sich an, um benachrichtigt zu werden.
Benachrichtigen Sie michErkennungen
Verdächtige Dienst-Erstellung über Registrierungsstelle (via cmdline)
Ansehen
Verdächtige Dienst-Erstellung (via powershell)
Ansehen
Mögliche manuelle Dienst- oder Treiberinstallation für Persistenz (via cmdline)
Ansehen
Mögliches Erstellen eines Dienstes mit Binärdatei auf UNC-Freigabe (via cmdline)
Ansehen
Verdächtige Dienst-Erstellung zur Persistenz (via System)
Ansehen
PowerShell-„New-Service“-Befehl zum Erstellen beständiger Dienste [Windows Powershell]
Ansehen
Erkennung bösartiger Dienste und Missbrauch der Wiederherstellungsfunktion [Windows System]
Ansehen
Erkennung bösartiger Windows-Diensterstellung und -konfiguration über sc.exe [Windows-Prozesserstellung]
Ansehen
Simulationsausführung
Voraussetzung: Die Telemetrie-&-Basislinenvorflugkontrolle muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der Angriffstechnik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und das Narrativ MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genau von der Erkennung erwartete Telemetrie zu erzeugen. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.
-
Angriffserzählung & Befehle: Der Angreifer hat sich anfänglich Zugang verschafft und versucht, einen Standplatz zu halten. Um die Erkennung durch einfache dateibasierte Antivirenprogramme zu vermeiden, entscheiden sie sich, einen Living-off-the-Land-Ansatz zu verwenden, indem sie einen neuen Windows-Dienst mit dem Namen „WindowsUpdateSvc“ (ein täuschender Name) erstellen. Dieser Dienst ist so konfiguriert, dass er einen bösartigen PowerShell-codierten Befehl ausführt. Die Erstellung dieses Dienstes wird ein Windows-System-Ereignis-ID 7045 generieren, das der primäre Auslöser für die Erkennungsregel ist.
-
Regressionstest-Skript:
# Simulation von T1543.003: Erstellen eines bösartigen Dienstes, um Ereignis-ID 7045 auszulösen $ServiceName = "WindowsUpdateSvc" $Payload = "powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command 'Write-Output "Persistenz hergestellt" | Out-File C:temppwned.txt'" # Erstellen Sie den Dienst # Hinweis: Dies erfordert Administratorprivilegien New-Service -Name $ServiceName -BinaryPathName $Payload -DisplayName "Windows-Update-Dienst" -StartupType Automatic Write-Host "Dienst $ServiceName wurde erstellt. Überprüfen Sie die Systemereignisprotokolle auf Ereignis-ID 7045." -
Aufräumbefehle:
# Aufräumen: Entfernen Sie den bösartigen Dienst und alle erstellten Dateien $ServiceName = "WindowsUpdateSvc" Stop-Service -Name $ServiceName -ErrorAction SilentlyContinue sc.exe delete $ServiceName if (Test-Path "C:temppwned.txt") { Remove-Item "C:temppwned.txt" } Write-Host "Aufräumen abgeschlossen."