T1569: СИСТЕМНІ СЛУЖБИ
Зловмисники зловживають системними службами (Windows Services) або демонами (Linux Daemons) для виконання команд або програм. Вони можуть взаємодіяти з існуючими службами або створювати нові як локально, так і віддалено. Оскільки багато служб налаштовані на запуск під час завантаження ОС і працюють з високими привілеями (SYSTEM/root), це є ідеальним методом для закріплення в системі та підвищення прав.
ТЕХНІЧНИЙ ОПИС
Зловмисники можуть зловживати системними службами або демонами для виконання команд чи програм. Зловмисники можуть виконувати шкідливий вміст, взаємодіючи зі службами або створюючи їх локально чи віддалено.
Багато служб налаштовані на запуск під час завантаження системи, що може допомогти в досягненні стійкості (Create or Modify System Process), але зловмисники також можуть зловживати службами для одноразового або тимчасового виконання.
Механізми зловживання:
- Створення нової служби: Зловмисник реєструє новий виконуваний файл як службу, що дозволяє йому автоматично запускатися від імені системи.
- Модифікація існуючої служби: Зміна параметрів легітимної служби (наприклад, шляху до файлу або типу запуску), щоб замість оригінальної програми запускався шкідливий код.
- Тимчасове виконання: Дистанційне створення та запуск служби (як це робить утиліта PsExec) для виконання команд на іншому вузлі мережі з подальшим видаленням служби для приховування слідів.
Чому це ефективно?
- Високі привілеї: Більшість системних служб за замовчуванням мають повний доступ до ресурсів ОС.
- Стійкість: Навіть якщо користувач вийде з системи, служба продовжуватиме працювати у фоні.
- Віддалене управління: Адміністратори (і зловмисники з їхніми правами) можуть керувати службами на інших серверах через мережу.