SOC Prime Bias: Élevé

08 Jul 2026 16:01 UTC

Service Windows Publié via un Accès Administrateur

Author Photo
SOC Prime Team linkedin icon Suivre
Service Windows Publié via un Accès Administrateur
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

Les acteurs de la menace abusent des services Windows pour exécuter du code avec des privilèges élevés et établir une persistance sur les systèmes compromis. Les approches courantes incluent la création de nouveaux services avec sc.exe ou PowerShell, la modification des chemins binaires de service existants, la modification des permissions de service via SDDL, et l’abus des paramètres de récupération de service pour lancer des commandes malveillantes lorsqu’un service échoue. Des méthodes plus avancées impliquent l’utilisation des APIs Windows pour éviter la visibilité en ligne de commande ou l’installation de pilotes en mode noyau.

Investigation

Le rapport décrit plusieurs techniques de manipulation des services Windows et montre comment les attaquants peuvent exploiter des outils natifs tels que sc.exe, PowerShell et les modifications du registre. Il explique comment les options de récupération de service peuvent être détournées pour exécuter des charges utiles et comment des pilotes en mode noyau peuvent être introduits pour un accès plus profond au système. L’enquête identifie également les principaux IDs d’événements Windows et les emplacements de registre qui fournissent une télémétrie utile pour détecter ce comportement.

Atténuation

Les organisations devraient appliquer des défenses en couches en activant l’audit sur les emplacements du registre liés aux services, y compris la ruche Services et les clés de configuration de récupération pertinentes. La surveillance des IDs d’événements Windows tels que 7045, 7024, 4657, et 4663 est essentielle pour repérer la création ou la modification de services. Les défenseurs devraient également se protéger contre la falsification des permissions de service et suivre l’activité d’installation non autorisée de pilotes en mode noyau.

Réponse

Lorsque des activités de service suspectes sont détectées, les intervenants devraient enquêter sur le processus initiateur et sa chaîne parent-enfant, notamment les cas où services.exe lance des processus shell inattendus. Les modifications du registre devraient être corrélées avec l’activité API telle que CreateServiceW, et les systèmes devraient être examinés pour les chargements de pilotes non autorisés. L’intégrité des chemins binaires de service et des paramètres de récupération devrait également être validée à travers l’environnement.

Flux d’attaque

Nous mettons toujours à jour cette partie. Inscrivez-vous pour être averti

Me prévenir

Exécution de simulation

Prérequis : La vérification préliminaire de télémétrie et de base doit avoir été passée.

Raison : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non liés entraîneront une mauvaise interprétation.

  • Récit et commandes de l’attaque : L’adversaire a obtenu un accès initial et cherche à maintenir un emplacement. Pour éviter la détection par un antivirus simple basé sur des fichiers, il décide d’utiliser une approche dite Living-off-the-Land en créant un nouveau service Windows appelé « WindowsUpdateSvc » (un nom trompeur). Ce service est configuré pour exécuter une commande PowerShell malveillante encodée. La création de ce service générera un ID d’événement système Windows 7045, qui est le déclencheur principal de la règle de détection.

  • Script de test de régression :

    # Simulation de T1543.003 : Création d'un service malveillant pour déclencher l'ID d'événement 7045
    $ServiceName = "WindowsUpdateSvc"
    $Payload = "powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command 'Write-Output "Persistence Established" | Out-File C:temppwned.txt'"
    
    # Créez le service
    # Remarque : Cela nécessite des privilèges administratifs
    New-Service -Name $ServiceName -BinaryPathName $Payload -DisplayName "Windows Update Service" -StartupType Automatic
    
    Write-Host "Service $ServiceName créé. Vérifiez les journaux d'événements système pour l'ID d'événement 7045."
  • Commandes de nettoyage :

    # Nettoyage : Supprimez le service malveillant et tous les fichiers créés
    $ServiceName = "WindowsUpdateSvc"
    Stop-Service -Name $ServiceName -ErrorAction SilentlyContinue
    sc.exe delete $ServiceName
    if (Test-Path "C:temppwned.txt") { Remove-Item "C:temppwned.txt" }
    Write-Host "Nettoyage terminé."