Serviço do Windows Publicado Através de Acesso de Administrador
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Os atores de ameaça abusam dos serviços do Windows para executar código com privilégios elevados e estabelecer persistência em sistemas comprometidos. Abordagens comuns incluem criar novos serviços com sc.exe ou PowerShell, alterar caminhos binários de serviços existentes, modificar permissões de serviço através de SDDL e abusar de configurações de recuperação de serviço para lançar comandos maliciosos quando um serviço falha. Métodos mais avançados envolvem o uso de APIs do Windows para evitar visibilidade da linha de comando ou a instalação de drivers em modo kernel.
Investigação
O relatório delineia múltiplas técnicas para manipular serviços do Windows e mostra como os atacantes podem se basear em ferramentas nativas como sc.exe, PowerShell e alterações no registro. Ele explica como as opções de recuperação de serviço podem ser sequestradas para executar cargas e como drivers em modo kernel podem ser introduzidos para um acesso mais profundo ao sistema. A investigação também identifica IDs de Eventos do Windows e locais de registro chave que fornecem telemetria útil para detectar esse comportamento.
Mitigação
As organizações devem aplicar defesas em camadas ao habilitar auditoria em locais de registro relacionados a serviços, incluindo a colmeia Services e chaves de configuração de recuperação relevantes. Monitorar IDs de Eventos do Windows como 7045, 7024, 4657, e 4663 é essencial para detectar criação ou modificação de serviços. Os defensores também devem proteger contra adulterações de permissões de serviço e rastrear atividades de instalação de drivers em modo kernel não autorizadas.
Resposta
Quando uma atividade suspeita de serviço é detectada, os respondedores devem investigar o processo inicial e sua cadeia pai-filho, especialmente casos onde services.exe lança processos shell inesperados. Alterações no registro devem ser correlacionadas com atividades de API como CreateServiceW, e os sistemas devem ser revisados para carregamentos não autorizados de drivers. A integridade dos caminhos binários de serviço e configurações de recuperação também deve ser validada em todo o ambiente.
Fluxo de Ataque
Ainda estamos atualizando esta parte. Inscreva-se para ser notificado
Notifique-meDetecções
Criação de Serviço Suspeito Através do Registro (via linha de comando)
Ver
Criação de Serviço Suspeito (via powershell)
Ver
Possível Instalação Manual de Serviço ou Driver para Persistência (via linha de comando)
Ver
Possível Criação de Serviço com Binário em Compartilhamento UNC (via linha de comando)
Ver
Criação de Serviço Suspeito para Persistência (via sistema)
Ver
Comando PowerShell New-Service para Criar Serviços Persistentes [Windows Powershell]
Ver
Detecção de Serviços Maliciosos e Abuso de Função de Recuperação [Sistema Windows]
Ver
Detecção de Criação e Configuração de Serviço Malicioso do Windows via sc.exe [Criação de Processo Windows]
Ver
Execução de Simulação
Pré-requisito: O Check de Pré-voo de Telemetria & Baseline deve ter sido aprovado.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.
-
Narrativa de Ataque & Comandos: O adversário ganhou acesso inicial e procura manter uma posição. Para evitar detecção por antivírus básico baseado em arquivos, eles decidem usar uma abordagem Living-off-the-Land criando um novo Serviço do Windows chamado “WindowsUpdateSvc” (um nome enganoso). Este serviço é configurado para executar um comando PowerShell codificado malicioso. A criação deste serviço gerará um ID de Evento do Sistema Windows 7045, que é o gatilho principal para a regra de detecção.
-
Script de Teste de Regressão:
# Simulação de T1543.003: Criando um serviço malicioso para acionar o ID de Evento 7045 $ServiceName = "WindowsUpdateSvc" $Payload = "powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command 'Write-Output "Persistência Estabelecida" | Out-File C:temppwned.txt'" # Crie o serviço # Nota: Isso requer privilégios administrativos New-Service -Name $ServiceName -BinaryPathName $Payload -DisplayName "Windows Update Service" -StartupType Automatic Write-Host "Service $ServiceName created. Check System Event Logs for Event ID 7045." -
Comandos de Limpeza:
# Limpeza: Remover o serviço malicioso e quaisquer arquivos criados $ServiceName = "WindowsUpdateSvc" Stop-Service -Name $ServiceName -ErrorAction SilentlyContinue sc.exe delete $ServiceName if (Test-Path "C:temppwned.txt") { Remove-Item "C:temppwned.txt" } Write-Host "Cleanup complete."