Service Windows Publié via un Accès Administrateur
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Les acteurs de la menace abusent des services Windows pour exécuter du code avec des privilèges élevés et établir une persistance sur les systèmes compromis. Les approches courantes incluent la création de nouveaux services avec sc.exe ou PowerShell, la modification des chemins binaires de service existants, la modification des permissions de service via SDDL, et l’abus des paramètres de récupération de service pour lancer des commandes malveillantes lorsqu’un service échoue. Des méthodes plus avancées impliquent l’utilisation des APIs Windows pour éviter la visibilité en ligne de commande ou l’installation de pilotes en mode noyau.
Investigation
Le rapport décrit plusieurs techniques de manipulation des services Windows et montre comment les attaquants peuvent exploiter des outils natifs tels que sc.exe, PowerShell et les modifications du registre. Il explique comment les options de récupération de service peuvent être détournées pour exécuter des charges utiles et comment des pilotes en mode noyau peuvent être introduits pour un accès plus profond au système. L’enquête identifie également les principaux IDs d’événements Windows et les emplacements de registre qui fournissent une télémétrie utile pour détecter ce comportement.
Atténuation
Les organisations devraient appliquer des défenses en couches en activant l’audit sur les emplacements du registre liés aux services, y compris la ruche Services et les clés de configuration de récupération pertinentes. La surveillance des IDs d’événements Windows tels que 7045, 7024, 4657, et 4663 est essentielle pour repérer la création ou la modification de services. Les défenseurs devraient également se protéger contre la falsification des permissions de service et suivre l’activité d’installation non autorisée de pilotes en mode noyau.
Réponse
Lorsque des activités de service suspectes sont détectées, les intervenants devraient enquêter sur le processus initiateur et sa chaîne parent-enfant, notamment les cas où services.exe lance des processus shell inattendus. Les modifications du registre devraient être corrélées avec l’activité API telle que CreateServiceW, et les systèmes devraient être examinés pour les chargements de pilotes non autorisés. L’intégrité des chemins binaires de service et des paramètres de récupération devrait également être validée à travers l’environnement.
Flux d’attaque
Nous mettons toujours à jour cette partie. Inscrivez-vous pour être averti
Me prévenirDétections
Création de service suspecte via le registre (via cmdline)
Voir
Création de service suspecte (via powershell)
Voir
Installation possible de service ou de pilote manuel pour la persistance (via cmdline)
Voir
Création de service possible avec binaire sur partage UNC (via cmdline)
Voir
Création de service suspecte pour la persistance (via le système)
Voir
Commande New-Service de PowerShell pour créer des services persistants [Windows Powershell]
Voir
Détection de services malveillants et abus des fonctions de récupération [Windows System]
Voir
Détection de la création et configuration de services Windows malveillants via sc.exe [Création de processus Windows]
Voir
Exécution de simulation
Prérequis : La vérification préliminaire de télémétrie et de base doit avoir été passée.
Raison : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non liés entraîneront une mauvaise interprétation.
-
Récit et commandes de l’attaque : L’adversaire a obtenu un accès initial et cherche à maintenir un emplacement. Pour éviter la détection par un antivirus simple basé sur des fichiers, il décide d’utiliser une approche dite Living-off-the-Land en créant un nouveau service Windows appelé « WindowsUpdateSvc » (un nom trompeur). Ce service est configuré pour exécuter une commande PowerShell malveillante encodée. La création de ce service générera un ID d’événement système Windows 7045, qui est le déclencheur principal de la règle de détection.
-
Script de test de régression :
# Simulation de T1543.003 : Création d'un service malveillant pour déclencher l'ID d'événement 7045 $ServiceName = "WindowsUpdateSvc" $Payload = "powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command 'Write-Output "Persistence Established" | Out-File C:temppwned.txt'" # Créez le service # Remarque : Cela nécessite des privilèges administratifs New-Service -Name $ServiceName -BinaryPathName $Payload -DisplayName "Windows Update Service" -StartupType Automatic Write-Host "Service $ServiceName créé. Vérifiez les journaux d'événements système pour l'ID d'événement 7045." -
Commandes de nettoyage :
# Nettoyage : Supprimez le service malveillant et tous les fichiers créés $ServiceName = "WindowsUpdateSvc" Stop-Service -Name $ServiceName -ErrorAction SilentlyContinue sc.exe delete $ServiceName if (Test-Path "C:temppwned.txt") { Remove-Item "C:temppwned.txt" } Write-Host "Nettoyage terminé."