Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1543 , T1543.001 , T1543.002 , T1543.003 , T1543.004 , T1543.005
Злоумышленники могут создавать или модифицировать службы Windows для многократного выполнения вредоносной полезной нагрузки в рамках персистенции. При загрузке Windows запускаются программы или приложения, называемые службами, которые выполняют фоновые функции системы.(Цитата: TechNet Services) Информация о конфигурации службы Windows, включая путь к исполняемому файлу службы или программам/командам восстановления, хранится в реестре Windows.
Злоумышленники могут установить новую службу или модифицировать существующую, чтобы она выполнялась при запуске и сохранялась в системе. Конфигурации служб могут быть установлены или изменены с помощью системных утилит (например, sc.exe), путем прямого изменения реестра или непосредственного взаимодействия с Windows API.
Злоумышленники также могут использовать службы для установки и выполнения вредоносных драйверов. Например, после сброса файла драйвера (например, `.sys`) на диск полезная нагрузка может быть загружена и зарегистрирована с помощью функций Native API, таких как `CreateServiceW()` (или вручную с помощью функций `ZwLoadDriver()` и `ZwSetValueKey()`), путем создания необходимых значений службы в реестре (т.е.Modify Registry) или с помощью утилит командной строки, таких как `PnPUtil.exe`.(Цит. по: Symantec W.32 Stuxnet Dossier)(Цитата: Crowdstrike DriveSlayer February 2022)(Цитата: Unit42 AcidBox June 2020) Злоумышленники могут использовать эти драйверы в качестве Rootkitов, чтобы скрыть наличие вредоносной активности в системе.Злоумышленники также могут загрузить подписанный, но уязвимый драйвер на взломанную машину (известный как "Bring Your Own Vulnerable Driver" (BYOVD)) в рамках Exploitation for Privilege Escalation.(Цитата: ESET InvisiMole Июнь 2020)(Цитата: Unit42 AcidBox Июнь 2020)
Службы могут быть созданы с правами администратора, но выполняются под правами SYSTEM, поэтому злоумышленник также может использовать службу для повышения привилегий. Злоумышленники также могут напрямую запускать службы через Service Execution.
Чтобы усложнить анализ обнаружения, вредоносные службы могут также использовать Маскарад задач или служб (например, использовать имя службы и/или полезной нагрузки, связанное с легитимной ОС или компонентом доброкачественного ПО). Злоумышленники также могут создавать "скрытые" службы (например, Hide Artifacts), например, используя команду `sc sdset` для установки разрешений службы через язык определения дескрипторов служб (SDDL).Это может скрыть службу Windows из поля зрения стандартных методов перечисления служб, таких как `Get-Service`, `sc query` и `services.exe`.(Цитата: SANS 1)(Цитата: SANS 2)
https://attack.mitre.org/techniques/T1543/003
Визуализация смежных техник для T1543.003
| № | Техника |
|---|
