T1543: СТВОРЕННЯ АБО МОДИФІКАЦІЯ СИСТЕМНОГО ПРОЦЕСУ
Зловмисники створюють нові або змінюють існуючі системні служби (Windows Services), демони (Linux Daemons) або агенти (macOS Launch Agents). Оскільки ці процеси зазвичай працюють у фоновому режимі з найвищими правами (SYSTEM або root) і автоматично запускаються разом із системою, вони забезпечують зловмиснику не лише постійну присутність, а й максимальний контроль над комп'ютером.
ТЕХНІЧНИЙ ОПИС
Зловмисники можуть створювати або модифікувати процеси системного рівня для багаторазового виконання шкідливих навантажень у рамках закріплення (Persistence). Коли операційні системи завантажуються, вони можуть запускати процеси, які виконують фонові системні функції. У Windows та Linux ці системні процеси називаються службами (services). У macOS процеси launchd, відомі як Launch Daemon та Launch Agent, запускаються для завершення ініціалізації системи та завантаження специфічних параметрів користувача.
Зловмисники можуть встановлювати нові служби, демони або агенти, які можуть бути налаштовані на виконання під час запуску або з повторюваним інтервалом для встановлення стійкості. Подібним чином зловмисники можуть модифікувати існуючі служби, демони або агенти для досягнення того ж ефекту.
Служби, демони або агенти можуть бути створені з привілеями адміністратора, але виконуватися з привілеями root/SYSTEM. Зловмисники можуть використовувати цей функціонал для створення або модифікації системних процесів з метою підвищення привілеїв (Privilege Escalation).
Як це працює на практиці?
- Windows Services (T1543.003): Зловмисник використовує команду sc create для реєстрації нового сервісу: sc create “MalwareService” binpath= “C:\Windows\temp\evil.exe” start= auto Тепер evil.exe буде запускатися від імені NT AUTHORITY\SYSTEM при кожному старті Windows.
- Systemd Services (T1543.002): У Linux хакер створює файл /etc/systemd/system/backdoor.service. Це дозволяє шкідливому коду працювати як повноцінний фоновий демон, який система буде автоматично перезапускати у разі збою.
- Модифікація існуючих служб: Замість створення нової служби, зловмисник змінює ImagePath у реєстрі для вже існуючої, але рідко використовуваної служби (наприклад, служби друку або застарілого драйвера), щоб вона запускала його код.
Чому це вкрай небезпечно?
- Найвищі права: Служби зазвичай працюють з правами, вищими за права звичайного адміністратора, що дозволяє їм вимикати антивіруси та читати будь-які дані в пам’яті.
- Прихованість: У типовій системі працюють сотні служб. Одна додаткова служба з назвою “Windows Update Helper” навряд чи приверне увагу системного адміністратора.
- Стійкість: Служби запускаються дуже рано в процесі завантаження ОС, часто до того, як завантажаться деякі модулі захисту.
Як захиститися?
- Моніторинг створення служб: Відстежуйте подію Windows Event ID 4697 (Встановлення нової служби) та ID 7045.
- Перевірка шляхів (BinPath): Звертайте увагу на служби, які запускають виконувані файли з тимчасових папок (Temp, Downloads, Users\Public).
- Аналіз непідписаних файлів: Легітимні системні служби зазвичай мають цифровий підпис Microsoft або відомого розробника ПЗ. Служби без підпису — головні кандидати на перевірку.
- Аудит Linux: Регулярно перевіряйте вміст /etc/systemd/system/ та логів journalctl на предмет невідомої фонової активності.