Servizio Windows Pubblicato Tramite Accesso Amministratore
Detection stack
- AIDR
- Alert
- ETL
- Query
Riassunto
Gli attori delle minacce abusano dei servizi Windows per eseguire codice con privilegi elevati e stabilire persistenza nei sistemi compromessi. Gli approcci comuni includono la creazione di nuovi servizi con sc.exe o PowerShell, la modifica dei percorsi binari di servizi esistenti, la modifica delle autorizzazioni dei servizi tramite SDDL e l’abuso delle impostazioni di ripristino dei servizi per lanciare comandi dannosi quando un servizio fallisce. Metodi più avanzati coinvolgono l’uso delle API di Windows per evitare la visibilità della riga di comando o l’installazione di driver in modalità kernel.
Indagine
Il rapporto delinea più tecniche per manipolare i servizi Windows e mostra come gli aggressori possano fare affidamento su strumenti nativi come sc.exe, PowerShell e modifiche al registro. Spiega come le opzioni di ripristino del servizio possano essere dirottate per eseguire payload e come i driver in modalità kernel possano essere introdotti per un accesso più profondo al sistema. L’indagine identifica anche gli ID evento di Windows chiave e le posizioni del registro che forniscono una telemetria utile per rilevare questo comportamento.
Mitigazione
Le organizzazioni dovrebbero applicare difese stratificate abilitando l’audit sulle posizioni del registro relative ai servizi, includendo l’hive Services e le chiavi di configurazione del ripristino pertinenti. Monitorare gli ID evento di Windows come 7045, 7024, 4657, e 4663 è essenziale per individuare la creazione o la modifica del servizio. I difensori dovrebbero anche proteggere contro la manomissione delle autorizzazioni del servizio e tracciare l’attività di installazione di driver non autorizzati.
Risposta
Quando viene rilevata un’attività di servizio sospetta, i rispondenti dovrebbero indagare sul processo iniziatore e sulla sua catena genitore-figlio, specialmente nei casi in cui services.exe lancia processi shell inaspettati. Le modifiche al registro dovrebbero essere correlate con l’attività delle API come CreateServiceW, e i sistemi dovrebbero essere esaminati per carichi di driver non autorizzati. L’integrità dei percorsi binari dei servizi e delle impostazioni di ripristino dovrebbe essere inoltre convalidata nell’ambiente.
Flusso di Attacco
Stiamo ancora aggiornando questa parte. Iscriviti per essere notificato.
AvvisamiRilevamenti
Creazione di Servizi Sospetti Tramite Registro (via cmdline)
Visualizza
Creazione di Servizi Sospetti (via powershell)
Visualizza
Possibile Installazione Manuale di Servizi o Driver per la Persistenza (via cmdline)
Visualizza
Possibile Creazione di Servizio con Binario su UNC Share (via cmdline)
Visualizza
Creazione di Servizi Sospetti per la Persistenza (via sistema)
Visualizza
Comando New-Service di PowerShell per Creare Servizi Persistenti [Windows Powershell]
Visualizza
Rilevamento di Abuso di Servizi Malintenzionati e Funzioni di Ripristino [Windows System]
Visualizza
Rilevamento di Creazione e Configurazione di Servizi Windows Malintenzionati tramite sc.exe [Windows Process Creation]
Visualizza
Esecuzione della Simulazione
Prerequisito: Il Controllo Preliminare di Telemetria e Baseline deve essere superato.
Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirare a generare esattamente la telemetria attesa dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.
-
Narrazione & Comandi di Attacco: L’avversario ha ottenuto l’accesso iniziale e cerca di mantenere un punto d’appoggio. Per evitare il rilevamento da parte degli antivirus semplici basati su file, decidono di utilizzare un approccio Living-off-the-Land creando un nuovo Servizio Windows chiamato “WindowsUpdateSvc” (un nome ingannevole). Questo servizio è configurato per eseguire un comando PowerShell codificato dannoso. La creazione di questo servizio genererà un ID Evento del Sistema Windows 7045, che è il trigger principale per la regola di rilevamento.
-
Script di Test di Regressione:
# Simulazione di T1543.003: Creazione di un servizio dannoso per attivare l'ID Evento 7045 $ServiceName = "WindowsUpdateSvc" $Payload = "powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command 'Write-Output "Persistance Established" | Out-File C:temppwned.txt'" # Crea il servizio # Nota: Questo richiede privilegi amministrativi New-Service -Name $ServiceName -BinaryPathName $Payload -DisplayName "Windows Update Service" -StartupType Automatic Write-Host "Servizio $ServiceName creato. Controlla i Log degli Eventi di Sistema per l'ID Evento 7045." -
Comandi di Pulizia:
# Pulizia: Rimuovi il servizio dannoso e qualsiasi file creato $ServiceName = "WindowsUpdateSvc" Stop-Service -Name $ServiceName -ErrorAction SilentlyContinue sc.exe delete $ServiceName if (Test-Path "C:temppwned.txt") { Remove-Item "C:temppwned.txt" } Write-Host "Pulizia completata."