ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1031

术语表: /attack/glossary

修改现有服务

Windows 服务配置信息(包括服务的可执行文件或恢复程序/命令的文件路径)存储在注册表中。可以使用 sc.exe 和 Reg 等工具修改服务配置。

攻击者可以使用系统或自定义工具与 Windows API 进行交互来修改现有服务,从而在系统上保留恶意软件。使用现有服务是一种伪装方式,可能使检测分析更难。修改现有服务可能会停止其功能,或者可能启用已被禁用或不常用的服务。

攻击者还可能故意破坏或终止服务以执行恶意恢复程序/命令。

缓解

使用能够检测企业系统上的权限和服务滥用机会的审计工具并进行更正。 限制用户帐户和组的权限,使得只有授权的管理员才能与服务更改和服务配置进行交互。 像 PowerSploit 框架这样的工具包有 PowerUp 模块,可以使用这些模块查找系统中的特权提升缺陷。

使用能够审核和/或拦截未知程序的白名单工具,如 AppLocker,识别并拦截可能通过滥用服务执行的潜在恶意软件。

检测

查找与已知软件、补丁周期等不相关的服务注册表项的更改。如果通常没有将二进制路径和服务启动类型从手动或禁用更改为自动,那么这样做是可疑的。 诸如 Sysinternals Autoruns 之类的工具也可以用于检测尝试建立持久性导致的系统更改。

服务信息存储在注册表中 HKLM\SYSTEM\CurrentControlSet\Services.。 能够修改服务的工具的命令行调用可能不常见,具体取决于系统在特定环境中的使用方式。 收集用于分析的服务的实用程序执行和服务的二进制路径参数。 甚至可以更改服务二进制路径以执行 cmd 命令或脚本。 从已知服务中查找异常流程调用树,并查找可能与披露(Discovery)或其他攻击技术相关的其他命令的执行。 还可以通过 Windows 系统管理工具(如 Windows 管理规范和 PowerShell) 修改服务,因此可能需要配置其他日志以收集适当的数据。