Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1574 , T1574.001 , T1574.002 , T1574.004 , T1574.005 , T1574.006 , T1574.007 , T1574.008 , T1574.009 , T1574.010 , T1574.011 , T1574.012 , T1574.013 , T1574.014
Злоумышленники могут выполнять собственные вредоносные полезные нагрузки, перехватывая записи реестра, используемые службами. Злоумышленники могут использовать недостатки в разрешениях для ключей реестра, связанных со службами, для перенаправления с первоначально указанного исполняемого файла на тот, который они контролируют, чтобы запустить собственный код при запуске службы. Windows хранит информацию о конфигурации локальной службы в реестре в разделе HKLM\SYSTEM\CurrentControlSet\Services. Информацией, хранящейся в ключах реестра службы, можно манипулировать для изменения параметров выполнения службы с помощью таких инструментов, как контроллер службы, sc.exe, PowerShell или Reg. Доступ к ключам реестра контролируется с помощью списков контроля доступа и разрешений пользователей.(Цитата: Registry Key Security)(Цитата: malware_hides_service)
Если разрешения для пользователей и групп установлены неправильно и разрешают доступ к ключам реестра для службы, злоумышленники могут изменить binPath/ImagePath службы так, чтобы он указывал на другой исполняемый файл, находящийся под их контролем. Когда служба запускается или перезапускается, выполняется контролируемая злоумышленником программа, что позволяет злоумышленнику установить постоянство и/или повысить привилегии до контекста учетной записи, под которой служба должна выполняться (локальная/доменная учетная запись, SYSTEM, LocalService или NetworkService).
Злоумышленники также могут изменять другие ключи реестра в дереве реестра службы.Например, ключ FailureCommand может быть изменен таким образом, чтобы служба выполнялась в повышенном контексте при любом сбое или намеренном повреждении.(Цитата: Коллекторы, связанные с сервисом Kansa)(Цитата: Tweet Registry Perms Weakness)
Ключ Performance содержит имя DLL производительности службы драйверов и имена нескольких экспортируемых функций в этой DLL.(Цитата: microsoft_services_registry_tree) Если ключ Performance еще не присутствует и если пользователь, контролируемый злоумышленниками, имеет разрешение Create Subkey, злоумышленники могут создать ключ Performance в дереве реестра службы, чтобы указать на вредоносную DLL.(Цитата: insecure_reg_perms)
Злоумышленники также могут добавить ключ Parameters, который хранит данные, специфичные для драйверов, или другие пользовательские подзамки для своих вредоносных служб, чтобы установить постоянство или обеспечить другие вредоносные действия.(Цитата: microsoft_services_registry_tree)(Цитата: troj_zegost) Кроме того, если злоумышленники запускают свои вредоносные службы с помощью svchost.exe, файл службы может быть идентифицирован по HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\servicename\Parameters\ServiceDll.(Цитата: malware_hides_service)
https://attack.mitre.org/techniques/T1574/011
Визуализация смежных техник для T1574.011
| № | Техника |
|---|
