SOC Prime Bias: Hoch

08 Jul 2026 16:01 UTC

Windows-Dienst über Administratorzugang veröffentlicht

Author Photo
SOC Prime Team linkedin icon Folgen
Windows-Dienst über Administratorzugang veröffentlicht
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Bedrohungsakteure missbrauchen Windows-Dienste, um Code mit erhöhten Privilegien auszuführen und Persistenz auf kompromittierten Systemen zu etablieren. Häufige Ansätze beinhalten das Erstellen neuer Dienste mit sc.exe oder PowerShell, das Ändern vorhandener Dienst-Binärpfade, das Ändern von Dienstberechtigungen über SDDL und das Ausnutzen von Dienstwiederherstellungseinstellungen, um bösartige Befehle zu starten, wenn ein Dienst fehlschlägt. Fortgeschrittenere Methoden umfassen die Verwendung von Windows-APIs, um die Sichtbarkeit der Befehlszeile zu vermeiden oder Kernelmodustreiber zu installieren.

Untersuchung

Der Bericht skizziert mehrere Techniken zur Manipulation von Windows-Diensten und zeigt, wie Angreifer auf native Tools wie sc.exe, PowerShell und Registry-Änderungen zurückgreifen können. Er erläutert, wie Optionen zur Dienstwiederherstellung gekapert werden können, um Nutzlasten auszuführen, und wie Kernelmodustreiber zur tiefergehenden Systemzugriff eingeführt werden können. Die Untersuchung identifiziert auch wichtige Windows-Event-IDs und Registrierungsorte, die nützliche Telemetrie zur Erkennung dieses Verhaltens bieten.

Abschwächung

Organisationen sollten geschichtete Abwehrmaßnahmen anwenden, indem sie das Auditieren von dienstbezogenen Registrierungslokationen einschalten, einschließlich des Dienstleistung Hives und relevanter Wiederherstellungskonfigurationsschlüssel. Die Überwachung von Windows-Event-IDs wie 7045, 7024, 4657und 4663 ist unerlässlich, um Dienst-Erstellungen oder -Änderungen zu erkennen. Verteidiger sollten auch den Schutz gegen das Ändern von Dienstberechtigungen sicherstellen und die Installation unerlaubter Kernel-Treiberaktivitäten verfolgen.

Reaktion

Wenn verdächtige Dienstaktivitäten erkannt werden, sollten Responder den initiierenden Prozess und seine Eltern-Kind-Kette untersuchen, insbesondere in Fällen, in denen services.exe unerwartete Shell-Prozesse startet. Registry-Änderungen sollten mit API-Aktivitäten wie CreateServiceWkorreliert werden, und Systeme sollten auf unerlaubte Treiberlächer überprüft werden. Die Integrität der Dienst-Binärpfade und der Wiederherstellungseinstellungen sollte im gesamten Umfeld validiert werden.

Angriffsablauf

Wir aktualisieren diesen Teil noch. Melden Sie sich an, um benachrichtigt zu werden.

Benachrichtigen Sie mich

Simulationsausführung

Voraussetzung: Die Telemetrie-&-Basislinenvorflugkontrolle muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der Angriffstechnik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und das Narrativ MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genau von der Erkennung erwartete Telemetrie zu erzeugen. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.

  • Angriffserzählung & Befehle: Der Angreifer hat sich anfänglich Zugang verschafft und versucht, einen Standplatz zu halten. Um die Erkennung durch einfache dateibasierte Antivirenprogramme zu vermeiden, entscheiden sie sich, einen Living-off-the-Land-Ansatz zu verwenden, indem sie einen neuen Windows-Dienst mit dem Namen „WindowsUpdateSvc“ (ein täuschender Name) erstellen. Dieser Dienst ist so konfiguriert, dass er einen bösartigen PowerShell-codierten Befehl ausführt. Die Erstellung dieses Dienstes wird ein Windows-System-Ereignis-ID 7045 generieren, das der primäre Auslöser für die Erkennungsregel ist.

  • Regressionstest-Skript:

    # Simulation von T1543.003: Erstellen eines bösartigen Dienstes, um Ereignis-ID 7045 auszulösen
    $ServiceName = "WindowsUpdateSvc"
    $Payload = "powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command 'Write-Output "Persistenz hergestellt" | Out-File C:temppwned.txt'"
    
    # Erstellen Sie den Dienst
    # Hinweis: Dies erfordert Administratorprivilegien
    New-Service -Name $ServiceName -BinaryPathName $Payload -DisplayName "Windows-Update-Dienst" -StartupType Automatic
    
    Write-Host "Dienst $ServiceName wurde erstellt. Überprüfen Sie die Systemereignisprotokolle auf Ereignis-ID 7045."
  • Aufräumbefehle:

    # Aufräumen: Entfernen Sie den bösartigen Dienst und alle erstellten Dateien
    $ServiceName = "WindowsUpdateSvc"
    Stop-Service -Name $ServiceName -ErrorAction SilentlyContinue
    sc.exe delete $ServiceName
    if (Test-Path "C:temppwned.txt") { Remove-Item "C:temppwned.txt" }
    Write-Host "Aufräumen abgeschlossen."