ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1035

术语表: /attack/glossary

服务执行

攻击者可以通过与 Windows 服务交互的方法(例如服务控制管理器)执行二进制文件,命令或脚本。这可以通过创建新服务或修改现有服务来完成。此技术是在服务持久化或权限提升期间结合创建新服务和修改现有服务一起使用的。

缓解

确保权限规则不允许具有较低权限级别的用户创建或与较高权限级别运行交互。 还要确保具有较低权限级别的用户无法替换或修改高权限级别服务二进制文件。 识别可能用于与 Windows 服务交互的不必要的系统实用程序或潜在的恶意软件,并在适当的情况下使用白名单工具(如 AppLocker、 或软件限制策略) 审计和/或拦截它们。

检测

对服务注册表项的更改以及能够修改与已知软件、补丁周期等不相关的服务的工具的命令行调用可能是可疑的。 如果服务仅用于执行二进制文件或脚本但不是持久化,那么在服务重启后不久,它很可能会变回原来的形式,这样服务就不会像常见的管理员工具 PsExec 一样被破坏。