SOC Prime Bias: Alto

08 Jul 2026 16:01 UTC

Servizio Windows Pubblicato Tramite Accesso Amministratore

Author Photo
SOC Prime Team linkedin icon Segui
Servizio Windows Pubblicato Tramite Accesso Amministratore
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Riassunto

Gli attori delle minacce abusano dei servizi Windows per eseguire codice con privilegi elevati e stabilire persistenza nei sistemi compromessi. Gli approcci comuni includono la creazione di nuovi servizi con sc.exe o PowerShell, la modifica dei percorsi binari di servizi esistenti, la modifica delle autorizzazioni dei servizi tramite SDDL e l’abuso delle impostazioni di ripristino dei servizi per lanciare comandi dannosi quando un servizio fallisce. Metodi più avanzati coinvolgono l’uso delle API di Windows per evitare la visibilità della riga di comando o l’installazione di driver in modalità kernel.

Indagine

Il rapporto delinea più tecniche per manipolare i servizi Windows e mostra come gli aggressori possano fare affidamento su strumenti nativi come sc.exe, PowerShell e modifiche al registro. Spiega come le opzioni di ripristino del servizio possano essere dirottate per eseguire payload e come i driver in modalità kernel possano essere introdotti per un accesso più profondo al sistema. L’indagine identifica anche gli ID evento di Windows chiave e le posizioni del registro che forniscono una telemetria utile per rilevare questo comportamento.

Mitigazione

Le organizzazioni dovrebbero applicare difese stratificate abilitando l’audit sulle posizioni del registro relative ai servizi, includendo l’hive Services e le chiavi di configurazione del ripristino pertinenti. Monitorare gli ID evento di Windows come 7045, 7024, 4657, e 4663 è essenziale per individuare la creazione o la modifica del servizio. I difensori dovrebbero anche proteggere contro la manomissione delle autorizzazioni del servizio e tracciare l’attività di installazione di driver non autorizzati.

Risposta

Quando viene rilevata un’attività di servizio sospetta, i rispondenti dovrebbero indagare sul processo iniziatore e sulla sua catena genitore-figlio, specialmente nei casi in cui services.exe lancia processi shell inaspettati. Le modifiche al registro dovrebbero essere correlate con l’attività delle API come CreateServiceW, e i sistemi dovrebbero essere esaminati per carichi di driver non autorizzati. L’integrità dei percorsi binari dei servizi e delle impostazioni di ripristino dovrebbe essere inoltre convalidata nell’ambiente.

Flusso di Attacco

Stiamo ancora aggiornando questa parte. Iscriviti per essere notificato.

Avvisami

Esecuzione della Simulazione

Prerequisito: Il Controllo Preliminare di Telemetria e Baseline deve essere superato.

Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirare a generare esattamente la telemetria attesa dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.

  • Narrazione & Comandi di Attacco: L’avversario ha ottenuto l’accesso iniziale e cerca di mantenere un punto d’appoggio. Per evitare il rilevamento da parte degli antivirus semplici basati su file, decidono di utilizzare un approccio Living-off-the-Land creando un nuovo Servizio Windows chiamato “WindowsUpdateSvc” (un nome ingannevole). Questo servizio è configurato per eseguire un comando PowerShell codificato dannoso. La creazione di questo servizio genererà un ID Evento del Sistema Windows 7045, che è il trigger principale per la regola di rilevamento.

  • Script di Test di Regressione:

    # Simulazione di T1543.003: Creazione di un servizio dannoso per attivare l'ID Evento 7045
    $ServiceName = "WindowsUpdateSvc"
    $Payload = "powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command 'Write-Output "Persistance Established" | Out-File C:temppwned.txt'"
    
    # Crea il servizio
    # Nota: Questo richiede privilegi amministrativi
    New-Service -Name $ServiceName -BinaryPathName $Payload -DisplayName "Windows Update Service" -StartupType Automatic
    
    Write-Host "Servizio $ServiceName creato. Controlla i Log degli Eventi di Sistema per l'ID Evento 7045."
  • Comandi di Pulizia:

    # Pulizia: Rimuovi il servizio dannoso e qualsiasi file creato
    $ServiceName = "WindowsUpdateSvc"
    Stop-Service -Name $ServiceName -ErrorAction SilentlyContinue
    sc.exe delete $ServiceName
    if (Test-Path "C:temppwned.txt") { Remove-Item "C:temppwned.txt" }
    Write-Host "Pulizia completata."