Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1569 , T1569.001 , T1569.002
Злоумышленники могут использовать диспетчер управления службами Windows для выполнения вредоносных команд или полезной нагрузки. Диспетчер управления службами Windows (services.exe) представляет собой интерфейс для управления и манипулирования службами.(Цитата: Microsoft Service Control Manager) Диспетчер управления службами доступен пользователям через компоненты графического интерфейса, а также системные утилиты, такие как sc.exe и Net.
PsExec также может использоваться для выполнения команд или полезной нагрузки через временную службу Windows, созданную с помощью API диспетчера управления службами.(Цит. по: Russinovich Sysinternals) Такие инструменты, как PsExec и sc.exe, могут принимать удаленные серверы в качестве аргументов и использоваться для удаленного выполнения.
Злоумышленники могут использовать эти механизмы для выполнения вредоносного содержимого. Это может быть сделано путем выполнения новой или модифицированной службы.Эта техника используется в сочетании с Windows Service при сохранении службы или повышении привилегий.
https://attack.mitre.org/techniques/T1569/002
Визуализация смежных техник для T1569.002
| № | Техника |
|---|
